首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
社区
编程技术
发新帖
2
0
[求助]一个简单exe中有一个字符串,通过OD查看到字符串的运行时的地址,如何通过解析PE的方式,知道文件所在地址?
发表于: 2017-1-24 16:09
4753
[求助]一个简单exe中有一个字符串,通过OD查看到字符串的运行时的地址,如何通过解析PE的方式,知道文件所在地址?
supperlitt
2017-1-24 16:09
4753
准确说,应该是字符串,在文件中的哪个位置,或者如何计算这个位置。
已知,运行时地址。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
2
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
6
)
fishleong
雪 币:
33
活跃值:
(244)
能力值:
( LV3,RANK:30 )
在线值:
发帖
1
回帖
79
粉丝
0
关注
私信
fishleong
2
楼
逆一下OD便知
2017-1-24 16:47
0
supperlitt
雪 币:
1366
活跃值:
(5584)
能力值:
( LV3,RANK:25 )
在线值:
发帖
19
回帖
396
粉丝
30
关注
私信
supperlitt
3
楼
这。。。这应该不难吧?我觉得,
2017-1-24 16:54
0
supperlitt
雪 币:
1366
活跃值:
(5584)
能力值:
( LV3,RANK:25 )
在线值:
发帖
19
回帖
396
粉丝
30
关注
私信
supperlitt
4
楼
好吧。我分析着,分析着,感觉分析出来了。解释如下:
用真实例子举例:通过OD可以得到。
0x991000 第一行代码地址。
0x992050 变量的数据地址。 差值 1050H
通过PE分析得到
.text的VA:1000H
.rdata的VA:2000H.
.text存放code.所以。第一行代码在1000H
代码和数据的位置差值1000H.
查看.rdata的PointerToRawData:600H。
使用WinHex打开EXE程序。找到600H,就是rdata的起始位置。
2050H-2000H=50H
600H+50H。就是那个变量的位置。。。PE文件中的位置。。。
哈哈哈,通过一个实例分析找到了。日。
2017-1-24 17:41
0
malokch
雪 币:
43
活跃值:
(388)
能力值:
( LV9,RANK:140 )
在线值:
发帖
30
回帖
385
粉丝
27
关注
私信
malokch
2
5
楼
请问开alsr了吗
2017-1-24 18:08
0
bambooqj
雪 币:
781
活跃值:
(1116)
能力值:
( LV5,RANK:78 )
在线值:
发帖
34
回帖
365
粉丝
38
关注
私信
bambooqj
6
楼
CFF Explorer_CN
LOAD_PE 都有这个功能 虚拟地址转换文件偏移
2017-1-24 20:32
0
supperlitt
雪 币:
1366
活跃值:
(5584)
能力值:
( LV3,RANK:25 )
在线值:
发帖
19
回帖
396
粉丝
30
关注
私信
supperlitt
7
楼
没设置过,应该是使用的win7的默认值。
2017-1-25 12:28
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
supperlitt
19
发帖
396
回帖
25
RANK
关注
私信
他的文章
[原创]在家办公(一首打油诗)
5049
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
返回
顶部
