[讨论]有关pe的疑问-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼看PE结构。 http://bbs.pediy.com/upload/bbs/unpackfaq/ARTeam%20PE_appendix1_offsets.htm 文字描述： http://bbs.pediy.com/showthread.php?t=61497 2008-4-29 09:35 0
fonilye 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	fonilye 3 楼没想到坛主居然会光顾新兵论坛！论坛中有pe格式的文献，3c不是算的，是规定的，那里存放pe签名的offset 2008-4-29 09:55 0
可见光雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 76 粉丝 0 关注私信	可见光 4 楼我一直很激动的。。。我向知道那个pe的rva和直接用ultraedit32打开看到的东西，怎么直接对应。。。我是写程序输出的。。。 0x3c 后的两个字符是PE 0x3d输出的怎么跑到文件开始的地方去了。。。这个地方我很模糊。。。 basP= (unsigned char)lpMemory ; for(int j = 0; j < 2; j++) { printf("%x\n",basP[j]); } printf("\n"); curP=0x3d+basP; curP=(unsigned char)((DWORD)*curP + (DWORD)lpMemory); //printf("%x",(DWORD)lpMemory); for(int j = 0; j < 0x10; j++) { printf("%x\n",curP[j]); } curP文件指针的当前位置 lpMemory 是内存映射后的基址。。。给我小菜说说问题出哪了吧 2008-4-29 11:28 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 5 楼你似乎搞错了吧？PE结构中的0x3C是IMAGE_DOS_HEADER结构中的e_lfanew成员偏移地址，并不是'PE'的rva偏移地址。e_lfanew成员保存着的才是'PE'结构的rva偏移。 PIMAGE_DOS_HEADER pIDH; PIMAGE_NT_HEADERS pINH; pIDH = (PIMAGE_DOS_HEADER)lpMemory; pINH = (PIMAGE_NT_HEADERS)((DWORD)pIDH->e_lfanew + (DWORD)pIDH); printf("%s\n",(char*)&pINH->Signature); 2008-4-29 12:30 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 6 楼貌似你加了两次lpMemory ! curP=(unsigned char)((DWORD)curP + (DWORD)lpMemory); 你把这一句注释起来看看`~~ 或者把: curP=0x3d+basP; 改成: curP=0x3d; 2008-4-29 12:52 0
可见光雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 76 粉丝 0 关注私信	可见光 7 楼什么也不说了眼泪哗哗的。。。。谢谢大家。。。我会更加努力的。。。 2008-4-30 10:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼看PE结构。 http://bbs.pediy.com/upload/bbs/unpackfaq/ARTeam%20PE_appendix1_offsets.htm 文字描述： http://bbs.pediy.com/showthread.php?t=61497 2008-4-29 09:35 0
fonilye 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	fonilye 3 楼没想到坛主居然会光顾新兵论坛！论坛中有pe格式的文献，3c不是算的，是规定的，那里存放pe签名的offset 2008-4-29 09:55 0
可见光雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 76 粉丝 0 关注私信	可见光 4 楼我一直很激动的。。。我向知道那个pe的rva和直接用ultraedit32打开看到的东西，怎么直接对应。。。我是写程序输出的。。。 0x3c 后的两个字符是PE 0x3d输出的怎么跑到文件开始的地方去了。。。这个地方我很模糊。。。 basP= (unsigned char)lpMemory ; for(int j = 0; j < 2; j++) { printf("%x\n",basP[j]); } printf("\n"); curP=0x3d+basP; curP=(unsigned char)((DWORD)*curP + (DWORD)lpMemory); //printf("%x",(DWORD)lpMemory); for(int j = 0; j < 0x10; j++) { printf("%x\n",curP[j]); } curP文件指针的当前位置 lpMemory 是内存映射后的基址。。。给我小菜说说问题出哪了吧 2008-4-29 11:28 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 5 楼你似乎搞错了吧？PE结构中的0x3C是IMAGE_DOS_HEADER结构中的e_lfanew成员偏移地址，并不是'PE'的rva偏移地址。e_lfanew成员保存着的才是'PE'结构的rva偏移。 PIMAGE_DOS_HEADER pIDH; PIMAGE_NT_HEADERS pINH; pIDH = (PIMAGE_DOS_HEADER)lpMemory; pINH = (PIMAGE_NT_HEADERS)((DWORD)pIDH->e_lfanew + (DWORD)pIDH); printf("%s\n",(char*)&pINH->Signature); 2008-4-29 12:30 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 6 楼貌似你加了两次lpMemory ! curP=(unsigned char)((DWORD)curP + (DWORD)lpMemory); 你把这一句注释起来看看`~~ 或者把: curP=0x3d+basP; 改成: curP=0x3d; 2008-4-29 12:52 0
可见光雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 76 粉丝 0 关注私信	可见光 7 楼什么也不说了眼泪哗哗的。。。。谢谢大家。。。我会更加努力的。。。 2008-4-30 10:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复