[求助]为什么OD载入，内存的起始地址不是ImageBase + BaseOfCode-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 2 楼呵呵，估计明白了，应该是 .text段映射到内存中的起始地址， typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; DWORD SizeOfRawData; DWORD PointerToRawData; DWORD PointerToRelocations; DWORD PointerToLinenumbers; WORD NumberOfRelocations; WORD NumberOfLinenumbers; DWORD Characteristics; } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; 结构中成员3，似乎没有什么好工具可以查看各段的具体细节啊，就是象stud_PE那样看各个段头部，方便。用winhex看老累的。大家能推荐一款么？另外，上面那个入口点警告是什么意思？显然入口点在.text块中，怎么提示超出代码块范围呢？ 2008-11-4 04:02 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼 OD出现这条警告，它的意思是，模块的入口点，即EntryPoint，所位于的节，并不是通常的.text节，而是在其它”非标准“的节。也就是说，现在入口点不属于由BaseOfCode所指示的节了。而一般来说，对程序加壳，壳通常会给程序添加节，而把壳的内容放在新的节中。不同的壳添加的节名各有特征，比如UPX加壳后，程序会含有UPX0和UPX1这样的节。所以OD遇到这种情况会发出警告。关于查看PE头部的信息，正如你所讲的PE_Stub，我常用的是LordPE。 2008-11-4 11:36 0
icersg 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 471 粉丝 0 关注私信	icersg 4 楼 PEiD可以看各个section header啊。 2008-11-4 14:16 0
wajxc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wajxc 5 楼我也碰到同样的问题。关注中。 2008-11-4 20:48 0
小菜鸟一雪币： 1246 活跃值： (4322) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 6 楼 http://bbs.pediy.com/showthread.php?t=66180&highlight=%E5%8F%98%E5%BD%A2+%E5%BD%A2%E6%8A%80+%E6%8A%80%E6%9C%AF 二楼的工具或许对你有用 2008-11-5 09:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 2 楼呵呵，估计明白了，应该是 .text段映射到内存中的起始地址， typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; DWORD SizeOfRawData; DWORD PointerToRawData; DWORD PointerToRelocations; DWORD PointerToLinenumbers; WORD NumberOfRelocations; WORD NumberOfLinenumbers; DWORD Characteristics; } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; 结构中成员3，似乎没有什么好工具可以查看各段的具体细节啊，就是象stud_PE那样看各个段头部，方便。用winhex看老累的。大家能推荐一款么？另外，上面那个入口点警告是什么意思？显然入口点在.text块中，怎么提示超出代码块范围呢？ 2008-11-4 04:02 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼 OD出现这条警告，它的意思是，模块的入口点，即EntryPoint，所位于的节，并不是通常的.text节，而是在其它”非标准“的节。也就是说，现在入口点不属于由BaseOfCode所指示的节了。而一般来说，对程序加壳，壳通常会给程序添加节，而把壳的内容放在新的节中。不同的壳添加的节名各有特征，比如UPX加壳后，程序会含有UPX0和UPX1这样的节。所以OD遇到这种情况会发出警告。关于查看PE头部的信息，正如你所讲的PE_Stub，我常用的是LordPE。 2008-11-4 11:36 0
icersg 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 471 粉丝 0 关注私信	icersg 4 楼 PEiD可以看各个section header啊。 2008-11-4 14:16 0
wajxc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wajxc 5 楼我也碰到同样的问题。关注中。 2008-11-4 20:48 0
小菜鸟一雪币： 1246 活跃值： (4322) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 6 楼 http://bbs.pediy.com/showthread.php?t=66180&highlight=%E5%8F%98%E5%BD%A2+%E5%BD%A2%E6%8A%80+%E6%8A%80%E6%9C%AF 二楼的工具或许对你有用 2008-11-5 09:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复