[己解决]一段感染EXE文件的代码，对偏移量的疑惑-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼 entrywrite=header->section_header[0].PointerToRawData+header->section_header[0].Misc.VirtualSize; //代码写入的物理偏移也就是这个偏移（entrywrite）是相当对文件头的偏移而实际的程序入口（newentryaddress）是内存中相当对于加载基址的偏移（RVA）这两都如何转换呢？这就要用到那个codeoffset　 codeoffset=header->opt_head.BaseOfCode-physaddress; //得到代码偏移，用代码段起始RVA减去此段的物理偏移 //应为程序的入口计算公式是一个相对的偏移地址，计算公式为： //代码的写入地址＋codeoffset 其实这是个数学题，上面可能从直观上不容易理解，我们把上面的问题转化成数学题： newentryaddress　＝　entrywrite　＋codeoffset codeoffset = BaseofCode - Rawoffset 我们把他写成这样可能更容易让人理解： newentryaddress = entrywrite - Rawoffset + BaseofCode entrywrite - Rawoffset 等于我们写代码的位置相当对于代码段开始始位置的偏移（均指文件中），因为这是个偏移，所以它也等于加载入内存后，我们的代码相对于代码段加载基址的偏移。（即内存中）此时得到的这个偏移＋BaseofCode 就是代码相对于程序加载基址（ImageBase）的偏移。这个偏移就是我们常说的EntryPoint。 2008-2-23 20:57 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 3 楼终于明白了~ 非常感谢大侠为我解答~顶~ 2008-2-23 21:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼 entrywrite=header->section_header[0].PointerToRawData+header->section_header[0].Misc.VirtualSize; //代码写入的物理偏移也就是这个偏移（entrywrite）是相当对文件头的偏移而实际的程序入口（newentryaddress）是内存中相当对于加载基址的偏移（RVA）这两都如何转换呢？这就要用到那个codeoffset　 codeoffset=header->opt_head.BaseOfCode-physaddress; //得到代码偏移，用代码段起始RVA减去此段的物理偏移 //应为程序的入口计算公式是一个相对的偏移地址，计算公式为： //代码的写入地址＋codeoffset 其实这是个数学题，上面可能从直观上不容易理解，我们把上面的问题转化成数学题： newentryaddress　＝　entrywrite　＋codeoffset codeoffset = BaseofCode - Rawoffset 我们把他写成这样可能更容易让人理解： newentryaddress = entrywrite - Rawoffset + BaseofCode entrywrite - Rawoffset 等于我们写代码的位置相当对于代码段开始始位置的偏移（均指文件中），因为这是个偏移，所以它也等于加载入内存后，我们的代码相对于代码段加载基址的偏移。（即内存中）此时得到的这个偏移＋BaseofCode 就是代码相对于程序加载基址（ImageBase）的偏移。这个偏移就是我们常说的EntryPoint。 2008-2-23 20:57 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 3 楼终于明白了~ 非常感谢大侠为我解答~顶~ 2008-2-23 21:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [己解决]一段感染EXE文件的代码，对偏移量的疑惑 0.00雪花