[求助][求助]请问pe结构中的AddressOfEntryPoint是相对于段首地址的偏移地址吗？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
leekong 雪币： 101 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	leekong 2 楼是相对ImageBase地址 2023-11-21 13:03 1
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 3 楼 LoadLibrary 或者 GetModuleHandle 返回的地址 + AddressOfEntryPoint 2023-11-21 16:34 1
一只小蛤蟆雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	一只小蛤蟆 4 楼 leekong 是相对ImageBase地址 ImageBase是pe文件（映像)加载到内存中的地址，这个地址是映像相对于段首址的偏移地址。所以AddressOfEntryPoint不是相对于段首址的偏移地址，而是相对于pe文件(映像)加载地址的偏移地址是吧 2023-11-22 09:37 0
一只小蛤蟆雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	一只小蛤蟆 5 楼 Black貓①呺 LoadLibrary 或者 GetModuleHandle 返回的地址 + AddressOfEntryPoint LoadLibrary 或者 GetModuleHandle返回地址就是模块加载到内存中的地址，也就是相对于段首址的偏移地址是吧 2023-11-22 09:38 0
一只小蛤蟆雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	一只小蛤蟆 6 楼一只小蛤蟆 ImageBase是pe文件（映像)加载到内存中的地址，这个地址是映像相对于段首址的偏移地址。所以AddressOfEntryPoint不是相对于段首址的偏移地址，而是相对于pe文件(映像)加载地址的 ... 最后于 2023-11-22 10:13 被一只小蛤蟆编辑，原因： 2023-11-22 10:12 0
一只小蛤蟆雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	一只小蛤蟆 7 楼 leekong 是相对ImageBase地址那么按罗大侠的<<win32汇编程序设计>>中的段存储，计算程序运行的起始地址应该是：如果是80386中，代码段中的选择符获取段描述符，所以程序起始地址为从段描述符中获得段首地址 * 16 + ImageBase + AddressOfEntryPoint。如果是windows中，因为代码段默认为0,那么程序起始地址为ImageBase + AddressOfEntryPoint 是吧 2023-11-22 10:13 0
Mr.hack 雪币： 3293 活跃值： (3888) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 138 粉丝 25 关注私信	Mr.hack 8 楼 RVA，相对于模块加载基地址的偏移 2023-11-23 19:09 1
leekong 雪币： 101 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	leekong 9 楼一只小蛤蟆 LoadLibrary 或者 GetModuleHandle返回地址就是模块加载到内存中的地址，也就是相对于段首址的偏移地址是吧我说错了，AddressOfEntryPoint 是VA地址，不是RVA，pe加载完ip寄存器就是指向这个字段的内容 2023-11-25 19:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
leekong 雪币： 101 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	leekong 2 楼是相对ImageBase地址 2023-11-21 13:03 1
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 3 楼 LoadLibrary 或者 GetModuleHandle 返回的地址 + AddressOfEntryPoint 2023-11-21 16:34 1
一只小蛤蟆雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	一只小蛤蟆 4 楼 leekong 是相对ImageBase地址 ImageBase是pe文件（映像)加载到内存中的地址，这个地址是映像相对于段首址的偏移地址。所以AddressOfEntryPoint不是相对于段首址的偏移地址，而是相对于pe文件(映像)加载地址的偏移地址是吧 2023-11-22 09:37 0
一只小蛤蟆雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	一只小蛤蟆 5 楼 Black貓①呺 LoadLibrary 或者 GetModuleHandle 返回的地址 + AddressOfEntryPoint LoadLibrary 或者 GetModuleHandle返回地址就是模块加载到内存中的地址，也就是相对于段首址的偏移地址是吧 2023-11-22 09:38 0
一只小蛤蟆雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	一只小蛤蟆 6 楼一只小蛤蟆 ImageBase是pe文件（映像)加载到内存中的地址，这个地址是映像相对于段首址的偏移地址。所以AddressOfEntryPoint不是相对于段首址的偏移地址，而是相对于pe文件(映像)加载地址的 ... 最后于 2023-11-22 10:13 被一只小蛤蟆编辑，原因： 2023-11-22 10:12 0
一只小蛤蟆雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	一只小蛤蟆 7 楼 leekong 是相对ImageBase地址那么按罗大侠的<<win32汇编程序设计>>中的段存储，计算程序运行的起始地址应该是：如果是80386中，代码段中的选择符获取段描述符，所以程序起始地址为从段描述符中获得段首地址 * 16 + ImageBase + AddressOfEntryPoint。如果是windows中，因为代码段默认为0,那么程序起始地址为ImageBase + AddressOfEntryPoint 是吧 2023-11-22 10:13 0
Mr.hack 雪币： 3293 活跃值： (3888) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 138 粉丝 25 关注私信	Mr.hack 8 楼 RVA，相对于模块加载基地址的偏移 2023-11-23 19:09 1
leekong 雪币： 101 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	leekong 9 楼一只小蛤蟆 LoadLibrary 或者 GetModuleHandle返回地址就是模块加载到内存中的地址，也就是相对于段首址的偏移地址是吧我说错了，AddressOfEntryPoint 是VA地址，不是RVA，pe加载完ip寄存器就是指向这个字段的内容 2023-11-25 19:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复