[讨论][讨论]最近在看 64位 PE 头文件格式有些疑问-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
wuyuhan 雪币： 41 活跃值： (197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 1 关注私信	wuyuhan 2 楼不会溢出吧。。应该会转成ULONG 或者LONG 2015-2-5 00:37 0
NutCracker 雪币： 39 活跃值： (2901) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 193 粉丝 8 关注私信	NutCracker 3 楼你觉得一个正常的EXE文件大小会超过4G吗？ 2015-2-5 00:45 0
h辉雪币： 101 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 118 粉丝 0 关注私信	h辉 4 楼 typedef struct _IMAGE_SECTION_HEADER { UCHAR Name[IMAGE_SIZEOF_SHORT_NAME]; union { ULONG PhysicalAddress; ULONG VirtualSize; } Misc; ULONG VirtualAddress; ULONG SizeOfRawData; ULONG PointerToRawData; ULONG PointerToRelocations; ULONG PointerToLinenumbers; USHORT NumberOfRelocations; USHORT NumberOfLinenumbers; ULONG Characteristics; } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; 本来就是 ULONG 了....可 ULONG 也就 4 字节呀大于4G 的地址还是记录不下 2015-2-5 08:55 0
h辉雪币： 101 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 118 粉丝 0 关注私信	h辉 5 楼大于 4G 的 .exe 文件确实没见到过... 只是假设出现这种情况怎么办 2015-2-5 08:58 0
sidyhe 雪币： 2161 活跃值： (750) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 9 关注私信	sidyhe 1 6 楼小伙，x64的重定位和x86的不一样，是基于当前地址的所以x64的重定位极少比如取一个变量的值，不论这个地址是否高于4GB： mov rax, [var] 编译为 mov rax, [rip+offset] offset是基于rip而不是ImageBase 明白了？ 2015-2-5 09:30 0
h辉雪币： 101 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 118 粉丝 0 关注私信	h辉 7 楼 [QUOTE=sidyhe;1351884]小伙，x64的重定位和x86的不一样，是基于当前地址的所以x64的重定位极少比如取一个变量的值，不论这个地址是否高于4GB： mov rax, [var] 编译为 mov rax, [rip+offset] offset是基于rip而不是ImageBase 明白了？[/QUOTE] 谢谢.. 2015-2-5 10:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
wuyuhan 雪币： 41 活跃值： (197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 1 关注私信	wuyuhan 2 楼不会溢出吧。。应该会转成ULONG 或者LONG 2015-2-5 00:37 0
NutCracker 雪币： 39 活跃值： (2901) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 193 粉丝 8 关注私信	NutCracker 3 楼你觉得一个正常的EXE文件大小会超过4G吗？ 2015-2-5 00:45 0
h辉雪币： 101 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 118 粉丝 0 关注私信	h辉 4 楼 typedef struct _IMAGE_SECTION_HEADER { UCHAR Name[IMAGE_SIZEOF_SHORT_NAME]; union { ULONG PhysicalAddress; ULONG VirtualSize; } Misc; ULONG VirtualAddress; ULONG SizeOfRawData; ULONG PointerToRawData; ULONG PointerToRelocations; ULONG PointerToLinenumbers; USHORT NumberOfRelocations; USHORT NumberOfLinenumbers; ULONG Characteristics; } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; 本来就是 ULONG 了....可 ULONG 也就 4 字节呀大于4G 的地址还是记录不下 2015-2-5 08:55 0
h辉雪币： 101 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 118 粉丝 0 关注私信	h辉 5 楼大于 4G 的 .exe 文件确实没见到过... 只是假设出现这种情况怎么办 2015-2-5 08:58 0
sidyhe 雪币： 2161 活跃值： (750) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 9 关注私信	sidyhe 1 6 楼小伙，x64的重定位和x86的不一样，是基于当前地址的所以x64的重定位极少比如取一个变量的值，不论这个地址是否高于4GB： mov rax, [var] 编译为 mov rax, [rip+offset] offset是基于rip而不是ImageBase 明白了？ 2015-2-5 09:30 0
h辉雪币： 101 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 118 粉丝 0 关注私信	h辉 7 楼 [QUOTE=sidyhe;1351884]小伙，x64的重定位和x86的不一样，是基于当前地址的所以x64的重定位极少比如取一个变量的值，不论这个地址是否高于4GB： mov rax, [var] 编译为 mov rax, [rip+offset] offset是基于rip而不是ImageBase 明白了？[/QUOTE] 谢谢.. 2015-2-5 10:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论][讨论]最近在看 64位 PE 头文件格式 有些疑问

[讨论][讨论]最近在看 64位 PE 头文件格式有些疑问