1
Comment comprendre l'en-tête PE dans ce graphique?
OMI, cela devrait tenir:
rva = raw - imagebase
qui n'est pas le cas dans le graphique, pourquoi?
A
Répondre
4
Le point d'entrée RVA, point d'entrée adresse brute, et l'adresse de base d'image ne sont pas liés de cette façon.
La base de l'image est « l'adresse préférée du premier octet de l'image lorsqu'il est chargé dans la mémoire ». En d'autres termes, c'est l'adresse virtuelle de l'image quand elle est chargée en supposant qu'il n'y a pas de conflit. S'il y a un conflit d'adresse lorsque l'image est chargée (par exemple, une autre image est déjà chargée dans une plage de chevauchement), alors une nouvelle adresse de base sera choisie pour l'image.
Une RVA est une adresse virtuelle relative. C'est "relatif" dans le sens où il est changé lorsque l'image est réellement chargée. C'est l'adresse lorsque l'adresse de base n'est pas connue (par exemple lorsque l'image n'est pas chargée). Une fois l'image chargée, le RVA devient une adresse virtuelle (VA), une adresse réelle dans la mémoire virtuelle.
La distinction brute vs. RVA est due à l'alignement. Il y a alignement des sections (alignement des sections lorsqu'elles sont chargées en mémoire) et alignement des fichiers (alignement des données brutes dans les sections). L'alignement de section ici est 0x1000 tandis que l'alignement de fichier est 0x200. Le point d'entrée RVA est utilisé pour déterminer le VA du point d'entrée lorsque l'image est chargée (c'est-à-dire que le point d'entrée sera situé à l'adresse virtuelle EntryPoint (rva) + ImageBase). L'adresse brute du point d'entrée est le décalage dans le fichier où se trouve le point d'entrée.
This document a une bonne explication de l'alignement.
Questions connexes
- 1. Comprendre les nombres en PE
- 2. Comment ajouter des métadonnées PE?
- 3. Comment comprendre ce code de flacon? ?
- 4. Comprendre ce comportement erratique dans gdb
- 5. Ecrire une valeur dans le fichier PE
- 6. Besoin d'aide pour comprendre ce problème de maximisation de la connectivité graphique
- 7. comment supprimer certaines données du fichier pe (exe) dans C
- 8. Qu'est-ce que javascript ou comment construire ce tableau/graphique?
- 9. comment implémenter graphique et graphique dans Java?
- 10. Pe Édition de la bibliothèque?
- 11. Comment détecter ce qui était le packer PE utilisé sur l'exe donné?
- 12. Aidez-moi à comprendre ce code jquery?
- 13. Comment puis-je comprendre ce journal de panne?
- 14. Qu'est-ce qu'une bonne ressource pour comprendre web.config dans asp.net?
- 15. Graphique répétitif dans SSRS?
- 16. Comprendre l'héritage dans php
- 17. Extraire des chaînes de fichiers PE
- 18. À propos du nombre magique de PE
- 19. Comment comprendre les symboles dans Ruby
- 20. Comment comprendre cette définition
- 21. Comment ajouter le support Active Directory à Windows PE?
- 22. Comment protéger les ressources du fichier PE (chaîne, image ....)?
- 23. Est-ce un graphique "Large" GraphViz, et comment le corriger?
- 24. extensions Comprendre dans php.ini
- 25. Comment ajouter une interface graphique à ce programme java?
- 26. ValidationContext Comprendre dans DataAnnotations
- 27. Comprendre $ dans Mootools
- 28. Comprendre ServiceKnownType dans WCF
- 29. Paramètre IPV6 dans la ligne de commande, Win PE
- 30. Contrôles graphiques ASP.NET - comment créer ce graphique à barres?
Je ne comprends pas tout à fait ce que vous entendez par 'décalage dans le fichier où le point d'entrée est located', pouvez-vous préciser ce? – COMer
Je peux être incorrect, mais je crois comprendre que le point d'entrée a une adresse en mémoire lorsqu'il est chargé (RVA + base d'image), et une "adresse" sur le disque lorsque l'image n'est pas chargée. L '"adresse" sur le disque est vraiment juste le décalage dans le fichier. Donc, si vous voulez commencer à désassembler le point d'entrée sans avoir à charger l'image, vous devez chercher l'adresse du point d'entrée brut dans le fichier. –
Le 'EntryPoint (rva)' devrait être calculé en fonction de 'EntryPoint (raw)' pendant le chargement de l'image, n'est-ce pas? – wamp