内存映射文件
- 简 介
- 下 载
- 留 言
- 说 明
内存映射文件,是由一个文件到一块内存的映射。Win32提供了允许应用程序把文件映射到一个进程的函数 (CreateFileMapping)。内存映射文件与虚拟内存有些类似,通过内存映射文件可以保留一个地址空间的 区域,同时将物理存储器提交给此区域,内存文件映射的物理存储器来自一个已经存在于磁盘上的文件,而非系统的页文件,而且在对该文件进行操作之前必须首先对文件进行映射。使 用内存映射文件处理存储于磁盘上的文件时,将不必再对文件执行I/O操作,使得内存映射文件在处理大数据量的文件时能起到相当重要的作用。由于取消了将文件数据加载到内存、数据从内存到文件的回写以及释放内存块等步骤,使得内存映射文件在处理大数据量的文件时能起到相当重要的作用。另外,实际工程中的系统往往需要在多个进程之间共享数据,如果数据量小,处理方法是灵活多变的,如果共享数据容量巨大,那么就需要借助于内存映射文件来进行。实际上,内存映射文件正是解决本地多个进程间数据共享的最有效方法。
内存映射文件并不是简单的文件I/O操作,实际用到了Windows的核心编程技术--内存管理。所以,如果想对内存映射文件有更深刻的认识,必须对Windows操作系统的内存管理机制有清楚的认识
内存映射文件的一般方法
首先要通过CreateFile()函数来创建或打开一个文件内核对象, 这个对象标识了磁盘上将要用作内存映射文件的文件。再用CreateFile()将文件映像在物理存储器的位置通告给操作系统后,只指定了映像文件的路径,映像的长度还没有指定。为了指定文件映射对象需要多大的物理存储空间还需要通过CreateFileMapping()函数来创建一个文件映射内核对象以告诉系统文件的尺寸以及访问文件的方式(其实就是一个数据结构,保存了要映射进来的文件的一些信息)。由MapViewOfFile()函数负责通过系统的管理而将文件映射对象的全部或部分映射到进程地址空间。此时,对内存映射文件的使用和处理同通常加载 到内存中的文件数据的处理方式基本一样,在完成了对内存映射文件的使用时,还要通过一系列的操作完成对其的清除和使用过资源的释放。这部分相对比较简单,可以通过UnmapViewOfFile()完成从进程的地址空间撤消文件数据的映像、通过CloseHandle()关闭前面创建的文件映射对象和文件 对象
#include <iostream>
#include <windows.h>
using namespace std;
int main()
{
TCHAR szFilePath[0x200] = "D:\\Coding\\test\\testDumpPE\\notepad.exe";
HANDLE hFile = CreateFile(szFilePath, GENERIC_READ, 0, NULL, OPEN_EXISTING, NULL, NULL);
if (hFile == INVALID_HANDLE_VALUE)
{
cout << "createfile failed:" << GetLastError() << endl;
getchar();
return 1;
}
HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, 0);
if (hMap == NULL)
{
cout << "CreateFileMapping failed" << endl;
getchar();
return 1;
}
LPVOID pMapViewFile = MapViewOfFile(hMap, FILE_MAP_READ, 0, 0, 0);
if (pMapViewFile == NULL)
{
cout << "MapViewOfFile failed" << endl;
getchar();
return 1;
}
//映射之后就可以查看到相应的PE字段了
PIMAGE_DOS_HEADER pImageDOSHeader = nullptr;
pImageDOSHeader = (PIMAGE_DOS_HEADER)pMapViewFile;
PIMAGE_NT_HEADERS pImageNTHeader = (PIMAGE_NT_HEADERS)((LONG)pImageDOSHeader + pImageDOSHeader->e_lfanew);
if (pImageNTHeader->OptionalHeader.Magic == IMAGE_NT_OPTIONAL_HDR32_MAGIC)
{
cout << "PE32" << endl;
}
else if (pImageNTHeader->OptionalHeader.Magic == IMAGE_NT_OPTIONAL_HDR64_MAGIC)
{
cout << "PE32+" << endl;
}
else
{
cout << "ROM" << endl;
}
UnmapViewOfFile(pMapViewFile);
CloseHandle(hMap);
CloseHandle(hFile);
system("pause");
return 0;
}
PE内存映像(PE装载器装载)和内存映射文件(MapViewofFile)的区别:
内存映射文件是指将硬盘上的文件不做修改的装载到内存中,(为什么?)在硬盘上,文件是被分割开存放的,当我们访问时,计算机需要先将不同位置的内容读取到内存,而有了内存文件映射,访问就会变得更轻松和快捷,由于读取磁盘操作放到了一起,读写效率会提高很多,所以许多大型的编辑软件经常会使用内存映射文件存取磁盘文件。
PE内存映像是指按照一定的规则装载到内存中,装入后的整个文件头内容不会发生变化,但PE文件的某一部分如节的内容会按照字段中的对齐方式在内存中对齐,从而使得内存中的PE映像与装载前的PE文件不同。(为什么不能像一般的内存映射一样?)PE文件是由操作系统装载进内存的,其目的是为了运行。为了配合操作系统的运行,方便调度,提高运行效率。