关于罗云彬老师《windows32位汇编程序设计》一书中内存地址与磁盘文件地址转换的疑问？？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
风萧兮雪币： 38 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 117 粉丝 1 关注私信	风萧兮 1 2 楼请注意书上讲的是用内存映射文件将文件映射到内存即内存中文件结构忠于源PE文件，也就是说此时你查找的操作的都是相当于静态的PE文件因此用磁盘存储相关的 SizeOfRawData 成员当你加载PE文件后（比如 LoadLibary）即按照虚拟地址加载到内存此时内存中各部分的关系才是虚拟地址相关的关系此时用 VirtualSize 就行 2010-11-20 23:32 0
wudehui 雪币： 171 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wudehui 3 楼不是啊，我上面的意思是，某一块节在内存中的开始RVA用VirtualAddress字段来确定，而同一块节的结束RVA 应是VirtualAddress字段值加上节的真实大小（VirtualSize）按sectionAlignment字段的值对齐才对啊。因为节在内存中的大小是节的真实大小根据sectionAlignment字段值在内存中的对齐值。而罗老师书上说的，节的结束RVA是节的在内存中的开始RVA用VirtualAddress字段加上“真实大小（VirtualSize）按FileAlignment的值对齐后的值即节在文件磁盘上的对齐后的大小（SizeOfRawData）”。这到底是什么原因呢？？ 2010-11-21 11:49 0
风萧兮雪币： 38 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 117 粉丝 1 关注私信	风萧兮 1 4 楼因为节在内存中的大小是节的真实大小根据sectionAlignment字段值在内存中的对齐值。 ---------------------------------- 你这句话说错了 -- 因为你用内存映射文件所以虽然文件被映射到内存但是其数据之间的相对位置关系与磁盘文件一致不是到内存就是像你所说的那样的 2010-11-21 15:23 0
Tartar 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	Tartar 5 楼我是这样理解的不知道对不对。一个节在内存中的起始RVA 和在节在磁盘文件中所占的空间大小SizeOfRawData 实际上到这里一个节的有用的信息已经结束了但是节和节在内存中要对齐所以就要填充。我想并根据节的大小（SizeOfRawData字段）算出节的结束RVA,最后比较判断目标RVA是否落在某个节之内应该是这个意思吧。这是我这个小菜的理解要是说的不对请指正我在这先谢了！ 2010-11-21 19:35 0
wudehui 雪币： 171 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wudehui 6 楼应该不是，因为一块节的真实大小如果是400KB，那他在磁盘上占512KB的空间，其中120KB是0，而在内存中同样的这块节，却占1000KB，有600KB的0。而“SizeOfRawData”在这里其实就是512KB，如果这节在内存中的RVA是1200，那他在内存中的结束RVA应是2200，而不是1200+512了 2010-11-21 21:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
风萧兮雪币： 38 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 117 粉丝 1 关注私信	风萧兮 1 2 楼请注意书上讲的是用内存映射文件将文件映射到内存即内存中文件结构忠于源PE文件，也就是说此时你查找的操作的都是相当于静态的PE文件因此用磁盘存储相关的 SizeOfRawData 成员当你加载PE文件后（比如 LoadLibary）即按照虚拟地址加载到内存此时内存中各部分的关系才是虚拟地址相关的关系此时用 VirtualSize 就行 2010-11-20 23:32 0
wudehui 雪币： 171 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wudehui 3 楼不是啊，我上面的意思是，某一块节在内存中的开始RVA用VirtualAddress字段来确定，而同一块节的结束RVA 应是VirtualAddress字段值加上节的真实大小（VirtualSize）按sectionAlignment字段的值对齐才对啊。因为节在内存中的大小是节的真实大小根据sectionAlignment字段值在内存中的对齐值。而罗老师书上说的，节的结束RVA是节的在内存中的开始RVA用VirtualAddress字段加上“真实大小（VirtualSize）按FileAlignment的值对齐后的值即节在文件磁盘上的对齐后的大小（SizeOfRawData）”。这到底是什么原因呢？？ 2010-11-21 11:49 0
风萧兮雪币： 38 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 117 粉丝 1 关注私信	风萧兮 1 4 楼因为节在内存中的大小是节的真实大小根据sectionAlignment字段值在内存中的对齐值。 ---------------------------------- 你这句话说错了 -- 因为你用内存映射文件所以虽然文件被映射到内存但是其数据之间的相对位置关系与磁盘文件一致不是到内存就是像你所说的那样的 2010-11-21 15:23 0
Tartar 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	Tartar 5 楼我是这样理解的不知道对不对。一个节在内存中的起始RVA 和在节在磁盘文件中所占的空间大小SizeOfRawData 实际上到这里一个节的有用的信息已经结束了但是节和节在内存中要对齐所以就要填充。我想并根据节的大小（SizeOfRawData字段）算出节的结束RVA,最后比较判断目标RVA是否落在某个节之内应该是这个意思吧。这是我这个小菜的理解要是说的不对请指正我在这先谢了！ 2010-11-21 19:35 0
wudehui 雪币： 171 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wudehui 6 楼应该不是，因为一块节的真实大小如果是400KB，那他在磁盘上占512KB的空间，其中120KB是0，而在内存中同样的这块节，却占1000KB，有600KB的0。而“SizeOfRawData”在这里其实就是512KB，如果这节在内存中的RVA是1200，那他在内存中的结束RVA应是2200，而不是1200+512了 2010-11-21 21:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 关于罗云彬老师《windows32位汇编程序设计》一书中内存地址与磁盘文件地址转换的疑问？？ 0.00雪花