[原创]winxp,文档文件载入内存的地址怎么计算的？有没有exe文件载入内存后等于40000加偏移地址之类的规律？-经典问答-看雪-安全社区|安全招聘|kanxue.com

[原创]winxp,文档文件载入内存的地址怎么计算的？有没有exe文件载入内存后等于40000加偏移地址之类的规律？

发表于: 2009-3-8 18:54 2799

[原创]winxp,文档文件载入内存的地址怎么计算的？有没有exe文件载入内存后等于40000加偏移地址之类的规律？

laorenchu

2009-3-8 18:54

2799

【原创】winxp,文档文件载入内存的地址怎么计算的？有没有exe文件载入内存后等于40000加偏移地址之类的规律？

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (1)
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 2 楼这个与操作系统的版本无关，根据PE规范，PE文件以section为单位映射到内存中，很多信息都是用RVA表示的，RVA代表映射入内存后的虚拟地址VA与文件映射的基址BASE之间的差（所以叫相对虚拟地址），但由于内存中section与文件中section的对齐粒度可以不一样（并且通常都不一样），所以，RVA不一定就等于文件偏移（File Offset）。 RVA换算offset的方法是通过RVA计算出在section内的偏移，而这个偏移在内存中和在文件中是一致的，所以再把它加上文件中节的地址偏移量。反向的换算也是通过section内部偏移来计算的。 2009-3-8 22:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

书呆彭

雪币： 2110

活跃值： (21)

能力值： (RANK：260 )

在线值：

发帖

回帖

1861

粉丝

关注

私信

书呆彭 6: 2 楼

这个与操作系统的版本无关，根据PE规范，PE文件以section为单位映射到内存中，很多信息都是用RVA表示的，RVA代表映射入内存后的虚拟地址VA与文件映射的基址BASE之间的差（所以叫相对虚拟地址），但由于内存中section与文件中section的对齐粒度可以不一样（并且通常都不一样），所以，RVA不一定就等于文件偏移（File Offset）。

RVA换算offset的方法是通过RVA计算出在section内的偏移，而这个偏移在内存中和在文件中是一致的，所以再把它加上文件中节的地址偏移量。反向的换算也是通过section内部偏移来计算的。

2009-3-8 22:53

laorenchu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区