首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
请问:怎么看出4084C0h这个地址,在.data区块中?附.data信息
发表于: 2009-12-3 05:06 3691

请问:怎么看出4084C0h这个地址,在.data区块中?附.data信息

神龙武士 活跃值
2009-12-3 05:06
3691
加密与解密 第三版,P82末,有句话:
4084c0h在.data区块

.data区块信息在P83图4.3,如下:
VOffset(00006000),VSize(000029DC),
ROffset(00006000),RSize(00003000),Flags(C0000040)

请问“4084c0h在.data区块”这句话,怎么看出来的?

谢谢先

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (8)
fixfix
雪    币: 419
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
VOffset(00006000)+00400000<4084c0h< VSize(000029DC)+VOffset(00006000)+00400000
2009-12-3 05:14
0
tigerlhp
雪    币: 180
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
     正解  不过不解的是
为什么基地址一定就是  400000 吗 ?
2009-12-3 08:19
0
怀特迈恩
雪    币: 444
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
32位EXE文件基地址95%以上的情况下是400000,除非编译的时候指定基地址。
可以看下可选映像头的ImageBase和BaseOfCode就完全可以确定是不是400000。
2009-12-3 08:48
0
ninjuli
雪    币: 29
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
学习了!!!!!!
2009-12-3 08:58
0
泥芭
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我看到LZ的结帖率了
2009-12-3 09:14
0
怀特迈恩
雪    币: 444
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
刚看见,晕了,比33.33%那个牛B许多。然后论坛ID起的也忒那个点,莫非现在还在玩传奇?
2009-12-3 09:25
0
轩辕小聪
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
私信
8
这个问题其实也不能说楼主问错了,因为按照实际的逻辑,我们分析程序时,并不是先凭空知道某个地址在.data区块中,然后才去看.data的区块数据,而正是反过来,正因为看了.data的区块数据,才能确认这个地址在.data中。因此这里新手看到后面之后要再回过头向前看,就会明白了。
2009-12-4 03:00
0
championwj
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
因为一般默认的都是这个地址
2009-12-4 16:36
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//