[求助]一直挺想问的一个问题。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
DriverAsm 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 146 粉丝 0 关注私信	DriverAsm 2 楼 PE 文件对齐？段在磁盘中按 0x200 bytes 对齐（对齐当然就是补0了）段在内存中按 0x1000 对齐你这里的 v.size 应该是该 Section 的大小（IMAGE_SECTION_HEADER.SizeOfRawData） SectionHeader 还有段在文件和内存的偏移，用LoadPE 多看看就ok了。 2012-12-31 16:57 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 3 楼一直在等待回答这个问题：一个是文件中的原始大小，一个是加载到内存后的大小。section加载到内存后，以页对齐。一页==0x1000 2012-12-31 16:59 0
HOWMP 雪币： 2815 活跃值： (2608) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 4 楼 R.Size就是节在文件的中大小，一般都是对齐的。见过最后一个节可以不对齐 V.Size是加载到内存中大小（加载后会自动对齐），通常与R.Size差不多。但如果数据节未初始化变量比较多，就比R.Size大了。不知你要的准确是指什么？准确的内存大小，还是准确的文件大小？或者你只是想计算一下文件中冗余空间？ 2012-12-31 17:09 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 5 楼我就是疑惑为什么加载到内存中会变小呢？从图中看，代码段，只读数据段，资源段，重定位段，为何都比在文件中的大小要小呢？丢掉的究竟是什么。如果按照200文件，1000内存的方式对齐，如果说Size会把对齐补填的那部分大小算进来，那么应该是内存中的Size大于文件中的Size才对。如果是碰巧，可我连续看了几个PE文件都是VSize< RSize。 2012-12-31 17:34 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 6 楼加载后肯定会大于等于原始文件中的数据。 2012-12-31 17:46 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 7 楼 PEID没有误报，它的意思是内存中的大小，比文件中的大小要小。 2012-12-31 21:05 0
wbs 雪币： 1559 活跃值： (1795) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	wbs 8 楼我也很困惑大牛出来解释一下吧 2013-1-9 16:09 0
LoveMeiL 雪币： 71 活跃值： (242) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 21 粉丝 1 关注私信	LoveMeiL 2 9 楼按内存对齐后的值来算的 2013-1-9 16:44 0
Elijah 雪币： 411 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 90 粉丝 0 关注私信	Elijah 10 楼我是这么理解的。 R.size显示的是文件中的对齐后的大小，而V.size显示的不是在内存中对齐后的值。上传的附件： 1.jpg （56.80kb，1次下载） 2.jpg （12.37kb，1次下载） 3.jpg （54.66kb，1次下载） 2013-1-9 16:58 0
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 11 楼楼主的程序应该是VC的，或者说应该是MS的开发工具生成的。特点是内存和磁盘文件的对齐都是0x1000，并且V.SIZE明显的是不可以被0x1000整除的，而R.SIZE可以乘除0x1000。再来看看这个，是我的一个C++Builder的程序区段信息。对齐尺寸：文件是0x100或者0x200，内存中是0x1000。并且V.SIZE明显可以被0x1000整除所以我感觉这个是编译器的问题。 VC++的编译器在生成PE头的时候，在计算V.SIZE的时候没有计算上该段末尾填充的0的数量。 C++Builder的编译器在生成PE头的时候，把末尾填充的0也算作是段的一部分长度了。上传的附件： VxMCUSec.JPG （28.54kb，2次下载） 2013-1-9 17:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
DriverAsm 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 146 粉丝 0 关注私信	DriverAsm 2 楼 PE 文件对齐？段在磁盘中按 0x200 bytes 对齐（对齐当然就是补0了）段在内存中按 0x1000 对齐你这里的 v.size 应该是该 Section 的大小（IMAGE_SECTION_HEADER.SizeOfRawData） SectionHeader 还有段在文件和内存的偏移，用LoadPE 多看看就ok了。 2012-12-31 16:57 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 3 楼一直在等待回答这个问题：一个是文件中的原始大小，一个是加载到内存后的大小。section加载到内存后，以页对齐。一页==0x1000 2012-12-31 16:59 0
HOWMP 雪币： 2815 活跃值： (2608) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 4 楼 R.Size就是节在文件的中大小，一般都是对齐的。见过最后一个节可以不对齐 V.Size是加载到内存中大小（加载后会自动对齐），通常与R.Size差不多。但如果数据节未初始化变量比较多，就比R.Size大了。不知你要的准确是指什么？准确的内存大小，还是准确的文件大小？或者你只是想计算一下文件中冗余空间？ 2012-12-31 17:09 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 5 楼我就是疑惑为什么加载到内存中会变小呢？从图中看，代码段，只读数据段，资源段，重定位段，为何都比在文件中的大小要小呢？丢掉的究竟是什么。如果按照200文件，1000内存的方式对齐，如果说Size会把对齐补填的那部分大小算进来，那么应该是内存中的Size大于文件中的Size才对。如果是碰巧，可我连续看了几个PE文件都是VSize< RSize。 2012-12-31 17:34 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 6 楼加载后肯定会大于等于原始文件中的数据。 2012-12-31 17:46 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 7 楼 PEID没有误报，它的意思是内存中的大小，比文件中的大小要小。 2012-12-31 21:05 0
wbs 雪币： 1559 活跃值： (1795) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	wbs 8 楼我也很困惑大牛出来解释一下吧 2013-1-9 16:09 0
LoveMeiL 雪币： 71 活跃值： (242) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 21 粉丝 1 关注私信	LoveMeiL 2 9 楼按内存对齐后的值来算的 2013-1-9 16:44 0
Elijah 雪币： 411 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 90 粉丝 0 关注私信	Elijah 10 楼我是这么理解的。 R.size显示的是文件中的对齐后的大小，而V.size显示的不是在内存中对齐后的值。上传的附件： 1.jpg （56.80kb，1次下载） 2.jpg （12.37kb，1次下载） 3.jpg （54.66kb，1次下载） 2013-1-9 16:58 0
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 11 楼楼主的程序应该是VC的，或者说应该是MS的开发工具生成的。特点是内存和磁盘文件的对齐都是0x1000，并且V.SIZE明显的是不可以被0x1000整除的，而R.SIZE可以乘除0x1000。再来看看这个，是我的一个C++Builder的程序区段信息。对齐尺寸：文件是0x100或者0x200，内存中是0x1000。并且V.SIZE明显可以被0x1000整除所以我感觉这个是编译器的问题。 VC++的编译器在生成PE头的时候，在计算V.SIZE的时候没有计算上该段末尾填充的0的数量。 C++Builder的编译器在生成PE头的时候，把末尾填充的0也算作是段的一部分长度了。上传的附件： VxMCUSec.JPG （28.54kb，2次下载） 2013-1-9 17:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复