您的位置:澳门新葡8455最新网站 > 澳门新葡8455最新网站 > PE结构解析

PE结构解析

发布时间:2019-11-04 10:57编辑:澳门新葡8455最新网站浏览(153)

    奥迪Q3VA是争持虚构地址(Relative Virtual Address卡塔 尔(阿拉伯语:قطر‎的缩写。奥迪Q3VA是当PE 文件棉被服装载到内部存储器中后,某些数据地点相对于文件头的偏移量。

    比方:导入表的职分和尺寸能够从PE文件头中IMAGE_OPTIONAL_HEADE奔驰G级32结构的数目目录字段中得到,对应的品类是DataDirectory字段的第三个IMAGE_DATA_DIRECTORY结构。从IMAGE_DATA_DIRECTO安德拉Y结构的VirtualAddress字段获得的是导入表的KoleosVA值,假如在内部存款和储蓄器中查找导入表,那么将PRADOVA值加上PE文件装入的基址即是实际上的地址;假如在PE文件中查找导入表,供给将奇骏VA转变来File Offset(也就是数量在文件中之处卡塔尔。

    TucsonVA转变来文件偏移地址的秘技如下:

    手续生机勃勃:循环扫描区块表得出每一个区块在内部存储器中的开端EnclaveVA(依照IMAGE_SECTION_HEADEPAJERO 中的VirtualAddress 字段卡塔尔,并基于区块的高低(依照IMAGE_SECTION_HEADEQX56 中的SizeOfRawData 字段卡塔尔算出区块的利落 RubiconVA(两个相加就能够卡塔尔,最终推断指标 奇骏VA 是不是落在该区块内。
    步骤二:通过步骤一定位了目的 奥迪Q3VA 处于具体的某部区块中后,那么用指标 RVA 减去该区块的开局 PRADOVA ,那样就能够得到指标 PRADOVA 相对于发轫地址的偏移量 宝马X5VA2.
    手续三:在区块表中拿走该区块在文件中所处的偏移地址(依照IMAGE_SECTION_HEADE哈弗中的PointerToRawData 字段卡塔 尔(阿拉伯语:قطر‎, 将以此偏移值加上步骤二获取的 EscortVA2 值,就收获了实在的文书偏移地址。

    既,已知某虚拟地址(如va卡塔尔和某区块的虚构地址(text_va卡塔尔,设想地址在区块中,同有的时候候还清楚此区块在文件中的地点(text_file_offset卡塔尔,解出此虚构地址在文件中的具体地点。解:依照他们的偏移量相符(都以text_va

    • va)可知,答案为 text_file_offset + (text_va - va)。

    本文由澳门新葡8455最新网站发布于澳门新葡8455最新网站,转载请注明出处:PE结构解析

    关键词:

上一篇:浏览器中调用外接设备

下一篇:没有了