关于ultraedit-32工具的地址问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 2 楼用LordPE的PE编辑器打开你要转换的文件，按下面操作：最后VA中显示的就是你要的东西。 2006-12-5 20:21 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 3 楼比起这个，还是把实现的方法（代码）说明一下比较好，工具谁都会用 2006-12-5 20:25 0
dxcat 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 137 粉丝 0 关注私信	dxcat 4 楼谢谢超级版主，我又长知识了，一直模糊着。。。 2006-12-5 20:28 0
dxcat 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 137 粉丝 0 关注私信	dxcat 5 楼 PE我会使用，于是按超级版主的方法我终于找到这个子块段了，再次谢谢超级版主！我在这里受到几次好的汇编启蒙知识的教育了，真是谢谢了，看了几个技术论坛，还是这里好^_^ 2006-12-5 20:33 0
晴空漂雨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	晴空漂雨 6 楼不错学习下我对这个一向没有什么太明确的想法～ 2006-12-5 20:53 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 7 楼最初由 SmileBoy* 发布* 比起这个，还是把实现的方法（代码）说明一下比较好，工具谁都会用看一下PE文件格式就明白了。首先看一下文件的对齐方式，一个是内存中的对齐（我在LordPE汉化版中翻译为块对齐），基本上我们看到的都是按1000来的，另一个是文件保存在磁盘上时的对齐（我翻译为文件块对齐），有可能是1000，也可能是200。如果内存对齐和磁盘对齐都是1000就好办了，只要把在16进制工具中看到的偏移直接加上程序的基址就可以得到虚拟地址（VA）了。比如基址是400000，加上楼主所说的0011C550，就得到0051C550。如果内存的对齐和磁盘的对齐不一致，如内存对齐为1000，磁盘对齐为200，这时就要换算了。再如上面的0011C550，这时要先看一下这个0011C550在哪个ROffset（实际偏移，即磁盘对齐的偏移）开始的区段中，再来看一下对应这个区段的VOffset（虚拟偏移，即内存对齐的偏移，RVA）。要计算0011C550的VA就变成这样： VA = 0011C550 + VOffset - ROffset + 基址 2006-12-5 21:24 0
kaien 雪币： 234 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	kaien 4 8 楼 CC兄解释的很清楚了，我就不班门弄斧了话说回来，CC兄的OD教程系列写得很精彩啊！不知兄弟什么时候出6啊？我们都等急了 2006-12-5 22:39 0
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 9 楼我也看了，CC兄的OD教程系列。受益匪浅啊。在这里谢谢啦 2006-12-6 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 2 楼用LordPE的PE编辑器打开你要转换的文件，按下面操作：最后VA中显示的就是你要的东西。 2006-12-5 20:21 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 3 楼比起这个，还是把实现的方法（代码）说明一下比较好，工具谁都会用 2006-12-5 20:25 0
dxcat 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 137 粉丝 0 关注私信	dxcat 4 楼谢谢超级版主，我又长知识了，一直模糊着。。。 2006-12-5 20:28 0
dxcat 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 137 粉丝 0 关注私信	dxcat 5 楼 PE我会使用，于是按超级版主的方法我终于找到这个子块段了，再次谢谢超级版主！我在这里受到几次好的汇编启蒙知识的教育了，真是谢谢了，看了几个技术论坛，还是这里好^_^ 2006-12-5 20:33 0
晴空漂雨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	晴空漂雨 6 楼不错学习下我对这个一向没有什么太明确的想法～ 2006-12-5 20:53 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 7 楼最初由 SmileBoy* 发布* 比起这个，还是把实现的方法（代码）说明一下比较好，工具谁都会用看一下PE文件格式就明白了。首先看一下文件的对齐方式，一个是内存中的对齐（我在LordPE汉化版中翻译为块对齐），基本上我们看到的都是按1000来的，另一个是文件保存在磁盘上时的对齐（我翻译为文件块对齐），有可能是1000，也可能是200。如果内存对齐和磁盘对齐都是1000就好办了，只要把在16进制工具中看到的偏移直接加上程序的基址就可以得到虚拟地址（VA）了。比如基址是400000，加上楼主所说的0011C550，就得到0051C550。如果内存的对齐和磁盘的对齐不一致，如内存对齐为1000，磁盘对齐为200，这时就要换算了。再如上面的0011C550，这时要先看一下这个0011C550在哪个ROffset（实际偏移，即磁盘对齐的偏移）开始的区段中，再来看一下对应这个区段的VOffset（虚拟偏移，即内存对齐的偏移，RVA）。要计算0011C550的VA就变成这样： VA = 0011C550 + VOffset - ROffset + 基址 2006-12-5 21:24 0
kaien 雪币： 234 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	kaien 4 8 楼 CC兄解释的很清楚了，我就不班门弄斧了话说回来，CC兄的OD教程系列写得很精彩啊！不知兄弟什么时候出6啊？我们都等急了 2006-12-5 22:39 0
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 9 楼我也看了，CC兄的OD教程系列。受益匪浅啊。在这里谢谢啦 2006-12-6 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 关于ultraedit-32工具的地址问题 0.00雪花