[求助]问一个关于PE文件格式的问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
hjjdebug 雪币： 107 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 8 回帖 74 粉丝 0 关注私信	hjjdebug 3 2 楼 7604 是RVA 值， 6A04 是OFFSET 值对于notepad 而言，它的RVA 到offset 的转换是这样的节表中指定 RVA 1000 对应file OFFSET 400 故： RVA 7604 = 0x7604 - 0x1000 +0x400 = 0x6a04 2008-5-29 08:36 0
t2ee 雪币： 200 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	t2ee 3 楼主要是公式要记牢固，你这个是逆向工程核心原理的书，里面提到的公式是这个：RAW - POINTEERTORAWDATA = RVA - VIRTUALADDRESS 这个公式变形之后是这样的，RAW = RVA -VA + POINTERtorawdata，我开始对这个公式并不太理解，主要是看另外一个公式理解下来的，主要计算文件偏移地址 = VA - Imagebase - 节偏移，变形等于：文件偏移地址 = RVA - (VO-RO)，其中VO 和RO指的就是节偏移。所以你知道了RVA = 7604，同时这个所在区段是.text内，所以使用文件偏移地址公式，7604-（1000-400） = 6A04。文件偏移地址是这个6A04。计算文件偏移地址RAW ，必须先查找RVA所在区段，然后再根据公式进行计算就好。 2020-5-6 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
hjjdebug 雪币： 107 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 8 回帖 74 粉丝 0 关注私信	hjjdebug 3 2 楼 7604 是RVA 值， 6A04 是OFFSET 值对于notepad 而言，它的RVA 到offset 的转换是这样的节表中指定 RVA 1000 对应file OFFSET 400 故： RVA 7604 = 0x7604 - 0x1000 +0x400 = 0x6a04 2008-5-29 08:36 0
t2ee 雪币： 200 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	t2ee 3 楼主要是公式要记牢固，你这个是逆向工程核心原理的书，里面提到的公式是这个：RAW - POINTEERTORAWDATA = RVA - VIRTUALADDRESS 这个公式变形之后是这样的，RAW = RVA -VA + POINTERtorawdata，我开始对这个公式并不太理解，主要是看另外一个公式理解下来的，主要计算文件偏移地址 = VA - Imagebase - 节偏移，变形等于：文件偏移地址 = RVA - (VO-RO)，其中VO 和RO指的就是节偏移。所以你知道了RVA = 7604，同时这个所在区段是.text内，所以使用文件偏移地址公式，7604-（1000-400） = 6A04。文件偏移地址是这个6A04。计算文件偏移地址RAW ，必须先查找RVA所在区段，然后再根据公式进行计算就好。 2020-5-6 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复