[讨论]解析硬盘上的exe文件，与解析已经载入到内存中的exe文件，有没有什么不同？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
yeyeshun 雪币： 704 活跃值： (3360) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 399 粉丝 15 关注私信	yeyeshun 2 2 楼你指的“载入到内存”应该是经过PE加载的意思吧，最大的区别是区段的对齐；其次是导入表与重定位表的修复；其他的我也不知道了 2019-2-1 14:53 1
wem 雪币： 515 活跃值： (3242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 3 楼 yeyeshun 你指的“载入到内存”应该是经过PE加载的意思吧，最大的区别是区段的对齐；其次是导入表与重定位表的修复；其他的我也不知道了是的。这两种情况下应该怎样解析PE ？ 2019-2-1 17:32 0
便衣网警雪币： 213 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	便衣网警 4 楼内存加载exe吗~ 2019-2-5 04:08 0
yeyeshun 雪币： 704 活跃值： (3360) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 399 粉丝 15 关注私信	yeyeshun 2 5 楼 wem 是的。这两种情况下应该怎样解析PE ？去了解一下PE文件格式吧。PE文件里面一般是按RVA来的，加载过的PE基本可以直接通过基地址+RVA来定位很多东西，而PE文件通过读取到内存的话，可能需要把基地址+RVA转换成基地址+文件偏移来定位。转换方式看雪或者百度都能轻松获取，我记不住，都是要用的时候当场百度来抄的。 2019-2-11 10:11 0
wem 雪币： 515 活跃值： (3242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 6 楼 yeyeshun 去了解一下PE文件格式吧。PE文件里面一般是按RVA来的，加载过的PE基本可以直接通过基地址+RVA来定位很多东西，而PE文件通过读取到内存的话，可能需要把基地址+RVA转换成基地址+文件偏移来定位。 ... 谢谢 2019-2-11 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
yeyeshun 雪币： 704 活跃值： (3360) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 399 粉丝 15 关注私信	yeyeshun 2 2 楼你指的“载入到内存”应该是经过PE加载的意思吧，最大的区别是区段的对齐；其次是导入表与重定位表的修复；其他的我也不知道了 2019-2-1 14:53 1
wem 雪币： 515 活跃值： (3242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 3 楼 yeyeshun 你指的“载入到内存”应该是经过PE加载的意思吧，最大的区别是区段的对齐；其次是导入表与重定位表的修复；其他的我也不知道了是的。这两种情况下应该怎样解析PE ？ 2019-2-1 17:32 0
便衣网警雪币： 213 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	便衣网警 4 楼内存加载exe吗~ 2019-2-5 04:08 0
yeyeshun 雪币： 704 活跃值： (3360) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 399 粉丝 15 关注私信	yeyeshun 2 5 楼 wem 是的。这两种情况下应该怎样解析PE ？去了解一下PE文件格式吧。PE文件里面一般是按RVA来的，加载过的PE基本可以直接通过基地址+RVA来定位很多东西，而PE文件通过读取到内存的话，可能需要把基地址+RVA转换成基地址+文件偏移来定位。转换方式看雪或者百度都能轻松获取，我记不住，都是要用的时候当场百度来抄的。 2019-2-11 10:11 0
wem 雪币： 515 活跃值： (3242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 6 楼 yeyeshun 去了解一下PE文件格式吧。PE文件里面一般是按RVA来的，加载过的PE基本可以直接通过基地址+RVA来定位很多东西，而PE文件通过读取到内存的话，可能需要把基地址+RVA转换成基地址+文件偏移来定位。 ... 谢谢 2019-2-11 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复