首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 [求助]有没把PE文件映射到内存时展开的映射API函数
发表于: 2019-2-10 13:40 6460

未解决 [求助]有没把PE文件映射到内存时展开的映射API函数

baikaishiu 活跃值
2
2019-2-10 13:40
6460
我现在用的 MapViewOfFile函数,他是按照标准文件的方式来映射的,里面的很多偏移计算都是rva,需要转成 file address来计算。

有没函数可以直接就像进程加载pe文件那样,把文件映射到内存里去。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2019-2-10 13:41 被baikaishiu编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (5)
zhatian
雪    币: 6588
活跃值: (4032)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
自己对齐。目的是什么 我看看能不能帮帮你
2019-2-10 16:40
0
baikaishiu
雪    币: 2458
活跃值: (3318)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
3
zhatian 自己对齐。目的是什么 我看看能不能帮帮你
你好,我在研究VMP的壳,因为发现里面大量的都是常量计算,都是可以计算出来的,所以写了个简单的x86指令模拟器,但是现在有个问题,我在分析vmp程序时,里面的跳转地址在计算出来以后,有些是 相对地址,有些是文件地址,我不能很好的判断出来哪些地址是rva,哪些是fa(file address)。

我打算把文件在映射进来时,直接展开,像了解下有无现成的api,

假如没有的话,我就分开一个个段去映射
2019-2-10 16:52
0
blindtiger
雪    币: 5734
活跃值: (1737)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
ZwOpenFile->ZwCreateSection (...PAGE_EXECUTE, SEC_IMAGE...)->ZwMapViewOfSection(...PAGE_EXECUTE)
2019-2-10 23:17
0
baikaishiu
雪    币: 2458
活跃值: (3318)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
小艾 ZwOpenFile->ZwCreateSection (...PAGE_EXECUTE, SEC_IMAGE...)->ZwMapViewOfSection(...PAGE_EXECUT ...
谢谢大佬,是我想要的
2019-2-10 23:40
0
yeyeshun
雪    币: 704
活跃值: (3360)
能力值: ( LV7,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
6
CreateFileMapping 也是支持SEC_IMAGE的,不需要用zw函数
2019-2-11 10:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//