sectionalignment 和 filealignment 的区别？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼 filealignment是文件对齐，一般200h sectionalignment是内存映像按页1000h对齐你可以找些个PE Rebuilder代码看看一般无需修改。即使修改了也应该调整文件而不是单单修正粒度 2004-7-12 11:19 0
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 2 关注私信	dREAMtHEATER 3 楼很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了 2004-7-12 11:42 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼最初由 dREAMtHEATER 发布很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了编程丧智啊:D 2004-7-12 11:49 0
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 2 关注私信	dREAMtHEATER 5 楼脱壳会把人变疯的 2004-7-12 12:46 0
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 6 楼很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了这个是对的 sectionalignment(sa)是指将文件中section映射到内存中的最小粒度 filealignment(fa)是指文件中section在文件中保存的最小粒度从内存中dump的话自然filealignment就是和sectionalignment一样。例如：某文件中的.text段有效数据大小为538k，原文件fa为200k，sa为1000k，此段在文件中占空间600k，映射到内存中占1000k。此时dump内存的话，相当于把内存完全copy下来，这样dump下来的段占1000k，则其fa为1000k。 2004-7-12 18:02 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼 ShineGood的QQ丢了？怎么没上线？ 2004-7-12 18:03 0
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 8 楼最初由 fly 发布 ShineGood的QQ丢了？怎么没上线？上了啊，不过周末不上;) 2004-7-12 18:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 9 楼现在的工具太智能了，我都不会手工……EasyUnpack的Dumpfix代码拿来用一下吧. 2004-7-12 19:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼 filealignment是文件对齐，一般200h sectionalignment是内存映像按页1000h对齐你可以找些个PE Rebuilder代码看看一般无需修改。即使修改了也应该调整文件而不是单单修正粒度 2004-7-12 11:19 0
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 2 关注私信	dREAMtHEATER 3 楼很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了 2004-7-12 11:42 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼最初由 dREAMtHEATER 发布很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了编程丧智啊:D 2004-7-12 11:49 0
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 2 关注私信	dREAMtHEATER 5 楼脱壳会把人变疯的 2004-7-12 12:46 0
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 6 楼很早之前脱壳时，我记得凡是直接从memory dump的，都要将filealignment的值改成sectionalignment一样的，我有点模糊了这个是对的 sectionalignment(sa)是指将文件中section映射到内存中的最小粒度 filealignment(fa)是指文件中section在文件中保存的最小粒度从内存中dump的话自然filealignment就是和sectionalignment一样。例如：某文件中的.text段有效数据大小为538k，原文件fa为200k，sa为1000k，此段在文件中占空间600k，映射到内存中占1000k。此时dump内存的话，相当于把内存完全copy下来，这样dump下来的段占1000k，则其fa为1000k。 2004-7-12 18:02 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼 ShineGood的QQ丢了？怎么没上线？ 2004-7-12 18:03 0
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 8 楼最初由 fly 发布 ShineGood的QQ丢了？怎么没上线？上了啊，不过周末不上;) 2004-7-12 18:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 9 楼现在的工具太智能了，我都不会手工……EasyUnpack的Dumpfix代码拿来用一下吧. 2004-7-12 19:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复