[求助]BaseOfCode和PointerToRawData的区别？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 2 楼不是吧？小菜般的问题居然都没有人站出来回答？顶到大侠来为之~ 2008-2-23 17:14 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 3 楼看看PE文档：推荐文档： ah007翻译的“PE文件格式”1.9版 qduwg翻译的PE文件格式 Iczelion's 的PE文件格式 PE结构各字段偏移参考微软官方提供的PE文档(Revision 8.0 - May 16, 2006) 2008-2-23 17:16 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 4 楼 2C DWORD BaseOfCode RVA of first byte of code when loaded into RAM 14 DWORD pointerToRawData Raw offset of section on disk 一个是在硬盘中的偏移，一个是内存中的偏移，不知对否？虽然好理解，但是放到程序中一运算就晕了 2008-2-23 18:19 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 5 楼 BaseOfCode是指代码节在内存中的偏移(如果是exe就是内存地址-ImageBase) PointerToRawData是指该节在文件中的偏移地址(从文件头开始一个字节一个字节数,数到这一节的那个值) 可以借助study pe或者peditor等工具学习pe结构,然后看下看雪精华中的一些pediy实例就好了. 2008-2-24 02:12 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 6 楼 PE文件格式中有些域可以适用于其它文件类型，或者被MS废弃。这样的话，有些域对于exe文件来说就是不可信的。 BaseOfCode就是这样的一个数据域你可以简单地忽略这个数据域，不应该把它作为可信的数据。在编程中也不应该依赖BaseOfCode这个数据域。你可以作一个简单地实验：在windows下，不管它是0x0，还是0xffffffff，对exe文件的运行都没有任何影响。 2008-2-24 20:56 0
gankeyu 雪币： 173 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	gankeyu 7 楼 BaseOfCode纯粹是给人看得.. 2008-2-24 20:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 2 楼不是吧？小菜般的问题居然都没有人站出来回答？顶到大侠来为之~ 2008-2-23 17:14 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 3 楼看看PE文档：推荐文档： ah007翻译的“PE文件格式”1.9版 qduwg翻译的PE文件格式 Iczelion's 的PE文件格式 PE结构各字段偏移参考微软官方提供的PE文档(Revision 8.0 - May 16, 2006) 2008-2-23 17:16 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 4 楼 2C DWORD BaseOfCode RVA of first byte of code when loaded into RAM 14 DWORD pointerToRawData Raw offset of section on disk 一个是在硬盘中的偏移，一个是内存中的偏移，不知对否？虽然好理解，但是放到程序中一运算就晕了 2008-2-23 18:19 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 5 楼 BaseOfCode是指代码节在内存中的偏移(如果是exe就是内存地址-ImageBase) PointerToRawData是指该节在文件中的偏移地址(从文件头开始一个字节一个字节数,数到这一节的那个值) 可以借助study pe或者peditor等工具学习pe结构,然后看下看雪精华中的一些pediy实例就好了. 2008-2-24 02:12 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 6 楼 PE文件格式中有些域可以适用于其它文件类型，或者被MS废弃。这样的话，有些域对于exe文件来说就是不可信的。 BaseOfCode就是这样的一个数据域你可以简单地忽略这个数据域，不应该把它作为可信的数据。在编程中也不应该依赖BaseOfCode这个数据域。你可以作一个简单地实验：在windows下，不管它是0x0，还是0xffffffff，对exe文件的运行都没有任何影响。 2008-2-24 20:56 0
gankeyu 雪币： 173 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	gankeyu 7 楼 BaseOfCode纯粹是给人看得.. 2008-2-24 20:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复