通过RVA计算数据的文件偏移的疑问-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
eidolonlon 雪币： 31 能力值： (RANK：10 ) 在线值：发帖 11 回帖 74 粉丝 1 关注私信	eidolonlon 2 楼楼主可以用lordpe载入一个pe文件算下，个人觉得，这个是印刷错误吧。应该是起始节RVA+VirtualSize 然后判断目标RVA是否在这个节内。 PhysicalAddress File address. VirtualSize Total size of the section when loaded into memory, in bytes. If this value is greater than the SizeOfRawData member, the section is filled with zeroes. VirtualAddress Address of the first byte of the section when loaded into memory, relative to the image base. SizeOfRawData Size of the initialized data on disk, in bytes. This value must be a multiple of the FileAlignment member of the IMAGE_OPTIONAL_HEADER structure. If this value is less than the VirtualSize member, the remainder of the section is filled with zeroes. If the section contains only uninitialized data, the member is zero. 2011-10-12 15:31 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 3 楼首先楼主的理解:SizeOfRawDAta是节在文件中的尺寸, 而不是在内存中的尺寸, 那么用节在内存中的起始RVA+节在文件中的尺不一定得到节在内存中的结束RVA ，正如楼主所说，节加载到内存中，以内存页(一般为1000h) 对齐，存在某一节加载到内存中要膨胀，多余空间一般填0。其次，上述的方法计算方法是为了将某一虚拟地址计算出它的文件偏移地址，从而能通过读磁盘的PE文件获取文件的数据，故1)判断目标RVA所落的的节的方法是对的，只是描述内存中节开始rva+SizeOfRawData 不一定等于内存中节的结束RVA 刚开始学PE 结构分析时和楼主有同样的疑惑，后来看了加密与解密这本书关于PE文件格式讲解才完全明白，楼主可参考书的277页（第10章PE文件格式），就会全明白了 2011-10-12 15:32 0
shuirh 雪币： 534 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 55 粉丝 0 关注私信	shuirh 4 楼谢谢大家帮助, 我差不多搞懂了, 还是但是需要缕一下. 谢谢 2011-10-17 08:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
eidolonlon 雪币： 31 能力值： (RANK：10 ) 在线值：发帖 11 回帖 74 粉丝 1 关注私信	eidolonlon 2 楼楼主可以用lordpe载入一个pe文件算下，个人觉得，这个是印刷错误吧。应该是起始节RVA+VirtualSize 然后判断目标RVA是否在这个节内。 PhysicalAddress File address. VirtualSize Total size of the section when loaded into memory, in bytes. If this value is greater than the SizeOfRawData member, the section is filled with zeroes. VirtualAddress Address of the first byte of the section when loaded into memory, relative to the image base. SizeOfRawData Size of the initialized data on disk, in bytes. This value must be a multiple of the FileAlignment member of the IMAGE_OPTIONAL_HEADER structure. If this value is less than the VirtualSize member, the remainder of the section is filled with zeroes. If the section contains only uninitialized data, the member is zero. 2011-10-12 15:31 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 3 楼首先楼主的理解:SizeOfRawDAta是节在文件中的尺寸, 而不是在内存中的尺寸, 那么用节在内存中的起始RVA+节在文件中的尺不一定得到节在内存中的结束RVA ，正如楼主所说，节加载到内存中，以内存页(一般为1000h) 对齐，存在某一节加载到内存中要膨胀，多余空间一般填0。其次，上述的方法计算方法是为了将某一虚拟地址计算出它的文件偏移地址，从而能通过读磁盘的PE文件获取文件的数据，故1)判断目标RVA所落的的节的方法是对的，只是描述内存中节开始rva+SizeOfRawData 不一定等于内存中节的结束RVA 刚开始学PE 结构分析时和楼主有同样的疑惑，后来看了加密与解密这本书关于PE文件格式讲解才完全明白，楼主可参考书的277页（第10章PE文件格式），就会全明白了 2011-10-12 15:32 0
shuirh 雪币： 534 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 55 粉丝 0 关注私信	shuirh 4 楼谢谢大家帮助, 我差不多搞懂了, 还是但是需要缕一下. 谢谢 2011-10-17 08:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复