首页
社区
课程
招聘
[原创]第十章 关于 FirstThunk 求解
发表于: 2009-5-31 10:58 5527

[原创]第十章 关于 FirstThunk 求解

2009-5-31 10:58
5527
书中283页第一段话中:
"FrstThunk,字段值是2010h,减去1A00h得610h,...其数据与OrignalFrstThunk字段所指的完全一样。"

使用的程序是:"E:\bf\BOOK\汇编\加密解密(第三版)光盘\chap10\10.1~10.7 实例\PE32\Dumped.exe"

使用loadPE查到区段表:
名称         voffset              VSize              Roffset           RSize              标记
.rdata     00002000       000001c2      00002000     000001c2      40000040   

得知1   Roffset -  voffset =0
得知2   FirstThunk 字段值是2010h ,地址处的值与OrignalFrstThunk所指处的值完全不一样?是我哪里没弄清楚,还是书中写错了。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 191
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
上面的问题解决了
下午又看了一遍,用winhex打开\Dumped.exe,发现DOS头中指向 PE头的地址是40 00 00 00,这个值会变吗?
2009-5-31 13:04
0
雪    币: 50161
活跃值: (20640)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
3
偏移3C指向PE文件头,你可以用16进制工具打开看看。
2009-6-3 22:58
0
游客
登录 | 注册 方可回帖
返回
//