[求助]关于文件偏移地址和RVA的关系-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 2 楼你说的我认为是对的正因为加载到内存后对齐方式的改变使代码段中出现了空隙才能有远程把代码注入到空隙而不改变PE映射的大小这个代码注入方法 2010-3-15 23:00 0
tscu 雪币： 236 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 52 粉丝 0 关注私信	tscu 1 3 楼但为什么会有文件偏移地址=RVA-节偏移我觉得就应该他们的关系应该根据具体情况而定啊。 2010-3-15 23:13 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 4 楼文件偏移地址=RVA-节偏移这个文件偏移地址应该是相对于文件中节的开始位置而不是相对于文件的开始这样应该就能理解了（自己的理解。。） 2010-3-16 09:49 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 5 楼关于PE文件在磁盘和在内存中的映像的可以看一下这张图不过我觉得“文件偏移地址=RVA-节偏移”这种说法可能会有点不恰当，应该是“xx的文件偏移地址 = (xx的RVA-节的RVA) + 节的文件偏移”，这样就比较好理解了。或许“节偏移 = 节的RVA - 节的文件偏移”？说实话，我没听过"节偏移"这个词语……或许lz应该把文章地址给出来，这样就能知道作者对节偏移的解释了。 2010-3-16 10:06 0
tscu 雪币： 236 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 52 粉丝 0 关注私信	tscu 1 6 楼在0day中的第十页和十一页截图如下：请各位帮忙解释一下。上传的附件： 0day1.png （573.40kb，35次下载） 0day2.png （475.72kb，32次下载） 0day3.png （166.17kb，31次下载） 2010-3-16 11:36 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 7 楼这不就ok了，只要看最下面对0x00404141的计算就清楚了，“文件偏移量 = 0x00404141 - 0x00400000 - 0x1000 + 0x400”，其实就是“xx的文件偏移 = xx的VA - 基地址 - 节的RVA + 节的文件偏移”，其中“xx的VA-基地址”就等于xx的RVA，跟我在上面说的那个是一样的，仔细看一下5L的那张图就清楚了。 2010-3-16 14:04 0
tscu 雪币： 236 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 52 粉丝 0 关注私信	tscu 1 8 楼终于想明白了，谢谢大家啦。呵呵。 2010-3-17 12:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 2 楼你说的我认为是对的正因为加载到内存后对齐方式的改变使代码段中出现了空隙才能有远程把代码注入到空隙而不改变PE映射的大小这个代码注入方法 2010-3-15 23:00 0
tscu 雪币： 236 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 52 粉丝 0 关注私信	tscu 1 3 楼但为什么会有文件偏移地址=RVA-节偏移我觉得就应该他们的关系应该根据具体情况而定啊。 2010-3-15 23:13 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 4 楼文件偏移地址=RVA-节偏移这个文件偏移地址应该是相对于文件中节的开始位置而不是相对于文件的开始这样应该就能理解了（自己的理解。。） 2010-3-16 09:49 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 5 楼关于PE文件在磁盘和在内存中的映像的可以看一下这张图不过我觉得“文件偏移地址=RVA-节偏移”这种说法可能会有点不恰当，应该是“xx的文件偏移地址 = (xx的RVA-节的RVA) + 节的文件偏移”，这样就比较好理解了。或许“节偏移 = 节的RVA - 节的文件偏移”？说实话，我没听过"节偏移"这个词语……或许lz应该把文章地址给出来，这样就能知道作者对节偏移的解释了。 2010-3-16 10:06 0
tscu 雪币： 236 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 52 粉丝 0 关注私信	tscu 1 6 楼在0day中的第十页和十一页截图如下：请各位帮忙解释一下。上传的附件： 0day1.png （573.40kb，35次下载） 0day2.png （475.72kb，32次下载） 0day3.png （166.17kb，31次下载） 2010-3-16 11:36 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 7 楼这不就ok了，只要看最下面对0x00404141的计算就清楚了，“文件偏移量 = 0x00404141 - 0x00400000 - 0x1000 + 0x400”，其实就是“xx的文件偏移 = xx的VA - 基地址 - 节的RVA + 节的文件偏移”，其中“xx的VA-基地址”就等于xx的RVA，跟我在上面说的那个是一样的，仔细看一下5L的那张图就清楚了。 2010-3-16 14:04 0
tscu 雪币： 236 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 52 粉丝 0 关注私信	tscu 1 8 楼终于想明白了，谢谢大家啦。呵呵。 2010-3-17 12:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]关于文件偏移地址和RVA的关系 0.00雪花