sectionalignment 和 filealignment 的区别？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-7-12 11:19 2 楼 0 filealignment是文件对齐，一般200h sectionalignment是内存映像按页1000h对齐你可以找些个PE Rebuilder代码看看一般无需修改。即使修改了也应该调整文件而不是单单修正粒度
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 1 关注私信	dREAMtHEATER 2004-7-12 11:42 3 楼 0 很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-7-12 11:49 4 楼 0 最初由 dREAMtHEATER 发布很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了编程丧智啊:D
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 1 关注私信	dREAMtHEATER 2004-7-12 12:46 5 楼 0 脱壳会把人变疯的
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 2004-7-12 18:02 6 楼 0 很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了这个是对的 sectionalignment(sa)是指将文件中section映射到内存中的最小粒度 filealignment(fa)是指文件中section在文件中保存的最小粒度从内存中dump的话自然filealignment就是和sectionalignment一样。例如：某文件中的.text段有效数据大小为538k，原文件fa为200k，sa为1000k，此段在文件中占空间600k，映射到内存中占1000k。此时dump内存的话，相当于把内存完全copy下来，这样dump下来的段占1000k，则其fa为1000k。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-7-12 18:03 7 楼 0 ShineGood的QQ丢了？怎么没上线？
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 2004-7-12 18:08 8 楼 0 最初由 fly 发布 ShineGood的QQ丢了？怎么没上线？上了啊，不过周末不上;)
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-7-12 19:48 9 楼 0 现在的工具太智能了，我都不会手工……EasyUnpack的Dumpfix代码拿来用一下吧.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-7-12 11:19 2 楼 0 filealignment是文件对齐，一般200h sectionalignment是内存映像按页1000h对齐你可以找些个PE Rebuilder代码看看一般无需修改。即使修改了也应该调整文件而不是单单修正粒度
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 1 关注私信	dREAMtHEATER 2004-7-12 11:42 3 楼 0 很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-7-12 11:49 4 楼 0 最初由 dREAMtHEATER 发布很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了编程丧智啊:D
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 1 关注私信	dREAMtHEATER 2004-7-12 12:46 5 楼 0 脱壳会把人变疯的
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 2004-7-12 18:02 6 楼 0 很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了这个是对的 sectionalignment(sa)是指将文件中section映射到内存中的最小粒度 filealignment(fa)是指文件中section在文件中保存的最小粒度从内存中dump的话自然filealignment就是和sectionalignment一样。例如：某文件中的.text段有效数据大小为538k，原文件fa为200k，sa为1000k，此段在文件中占空间600k，映射到内存中占1000k。此时dump内存的话，相当于把内存完全copy下来，这样dump下来的段占1000k，则其fa为1000k。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-7-12 18:03 7 楼 0 ShineGood的QQ丢了？怎么没上线？
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 2004-7-12 18:08 8 楼 0 最初由 fly 发布 ShineGood的QQ丢了？怎么没上线？上了啊，不过周末不上;)
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-7-12 19:48 9 楼 0 现在的工具太智能了，我都不会手工……EasyUnpack的Dumpfix代码拿来用一下吧.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复