我正在开发一个库,它可以处理32位和64位架构的PE文件。一些结构将引用虚拟地址(VA,例如ImageBase)和相对虚拟地址(RVA,例如段偏移量),例如: type VA32 = u32; image_base: VA<
浏览 14提问于2019-04-22得票数 4
回答已采纳
2回答
而且,没有什么比全球补偿更好了。
编辑:
在阅读了给弗朗西斯的答案之后,我清楚地知道了物理地址、VA和RVA以及它们之间的关系。在重定位期间,所有变量和方法的RVA必须由链接器计算。因此,(方法/变量的RVA值) == (其从文件开头的偏移量)?一定是真的。但令人惊讶的是,事实并非如此。为什么会这样呢?我通过在上使用c:\WINDOWS\system32\k
浏览 3提问于2010-01-31得票数 66
回答已采纳
1回答
这些地址的问题是,从Office的一个版本到另一个版本,甚至从一个更新到另一个更新,都不能指望它们是相同的。因此,我需要了解李·本菲尔德在写MSO.dll时是如何在中找到这些稳定地址的。李的代码中我试图理解的部分是:下面是我为查找这些地址而编写的一些代码:#include <stdint.h> {
浏览 8提问于2016-06-22得票数 0
1回答
VA和内存地址
、、、
这应该是一个简单的问题:对于PE,我知道VA = RVA + imagebase,现在我试图在反汇编程序中定位一个字符串,它恰好位于.text部分的0042720E处。图像库是400000,2720E是RVA,到目前为止还可以。
但是为什么当我在调试器中加载exe时,映射指令的内存是0140720E?0140720E (我在ram中看到的)和0042720E ( VA)在FE0000上不同,为什么?我是不是遗漏了<e
浏览 0提问于2011-04-26得票数 1
回答已采纳
1回答
在DLL中查找和修补指令
、、、
但是,构建这个软件是复杂的,因为它是旧的,依赖关系和工具是旧的,等等;另外,我在构建安装程序和数据等方面也有问题。所以,我想,我只是修补这个二进制文件,这样这个常量就可以在DLL中直接改变了。但是时代已经变了,我几乎不记得我做过什么,更不用说我当时是怎么做的了。当我悬停在Ghidra中的第一列值('18005160e')上时,我得到了“图像基偏移量”、“内存块偏移量”、“函数偏移量”和“字节源偏移量”的值。这个悬停气球的实际值是50a0eh -<em
浏览 11提问于2022-08-10得票数 0
我使用的公式是7 Parameter转换:import numpy as npR = np.array([[1, -Rz, Ry], [-Ry, Rx, 1]])RVa<
浏览 6提问于2020-07-07得票数 0
回答已采纳
1回答
if (pSymbol->get_virtualAddress(&va) == S_OK) { } }文号长度: 44RVA: 0x1
浏览 3提问于2022-01-30得票数 0
回答已采纳
1回答
我刚刚读到了指令的偏移量,它们在磁盘上的文件中,RVA和VA一旦加载到内存中。我还读到,如果PE文件加载到内存中的方式与其在磁盘中的完全相同,则RVA将与文件偏移量相同(这种情况将非常罕见)。我的疑问是-在正常情况下,这些RVA相对于什么?该特定PE数据结构的开始?
编辑: PE数据结构我指的是PE头、DOS头、DOS存根、PE文件头、图像可选头、节表和数据目录。
浏览 2提问于2011-10-21得票数 7
回答已采纳
所使用的方法是创建一个包含一些外壳代码的新部分(名为.test),将第一个调用指令更改为JMP,执行它,并将JMPing返回到JMP更改之前包含的第一个调用指令的原始地址。第一部分是添加新的部分,我对此很满意(用LordPE完成)。^E9 7BFEFFFF JMP PsExec_b.001C9C6B
RVA of 001D1500 is RVA_11500.RVA of 001C9DEB is RVA_9DEB, RVA of .test is RVA</em
浏览 0提问于2019-03-24得票数 1
3回答
我的项目需要检查.c和.dll文件。它结合这些信息来确定它应该调用什么,然后调用它。
我需要检查dll,以找出哪个dll具有哪个函数。到目前为止,我已经将dll映射到内存,而不对其进行初始化。我很想读一本关于这个主题的书--所以如果你知道一本好书,可以解释头部是如何工作的,以及有哪些不同的头部,请评论一下。
浏览 2提问于2012-04-05得票数 1
回答已采纳
1回答
谁知道数学公式是怎么回事?公式很简单!还有另一种方法可以获得文件位置来永久修改.exe?
浏览 4提问于2015-12-04得票数 2
回答已采纳
3回答
JMP到绝对地址(操作码)
、、、、
我正在尝试编写一个可执行打包程序/保护器,以此来学习更多关于汇编程序、c++和PE文件工作原理的知识。我目前已经让它工作了,所以包含EP的部分是带有密钥的XORed,并且创建了一个包含我的解密代码的新部分。一切工作很好,除了当我尝试和JMP的原始EP解密后。基本上我是这样做的:// -- snip -- //
crypted.put
浏览 4提问于2009-10-10得票数 10
回答已采纳
1回答
到目前为止,我的做法是:ntdll.dll: ordinal=00000059,rva=0007e098,fileoffs=0007d498,函数VA: 7c97e098mem: e4 040000000000000000ntdll.dll: ordinal=0000003d,rva=0009d0d8,fileoffs=0009c4d8函数VA: 7
浏览 5提问于2011-04-13得票数 1
5回答
我是Python的新手。我想知道提取某个模式后的子串的最佳方法。该模式如下所示的Prefix - Postfix。我想隔离后缀。我可以保证前缀只包含字母,但不能保证它的长度。另一方面,后缀中可能有空格和连字符;它可以是任何字符。我只需要去掉Prefix -,保留‘后缀’ """Intern - RVA-QA PKIntern - STP_NA<
浏览 45提问于2020-07-24得票数 1
回答已采纳
我正在尝试使用WinAppDbg为游戏编写插件,这涉及到挂钩和调用游戏中的现有函数。经过一些逆向工程工作,我得到了一些目标函数或类方法的RVA和签名。此外,通常目标函数的地址是从Process.resolve_label获取的,但我只有RVA。如何将函数与其RVA挂钩?谢谢!为了弄清楚我想做什么,考虑一下下面的案例: 在some_game.exe中有一个名为bool Player::attack(this, Animal *some_animal)的类方法,当我攻击任何
浏览 15提问于2020-05-01得票数 1
1回答
分配给导入函数的虚拟地址
、、、
考虑像CALL DWORD PTR 44244100这样的指令,它导入并使用汇编program.We内的DLL函数,知道该指令使用的地址是相对虚拟地址(RVA)。1.那么,当我跟踪这段代码时,为什么在LordPE软件的Thunk value字段中会出现另一个VA值?
2.像User32或Kernel32这样的动态链接库是否总是在特定的VA加载,或者不是必须的?我的意思是这个地址是不变的,所以如果加载的dll的位置也是固定的,那么应该首先将另一个VA分配
浏览 1提问于2018-04-25得票数 0
云服务器
ICP备案
实时音视频
云直播
对象存储
腾讯云开发者
