Раздел PE-файла Расчет RVA

В настоящее время я просматриваю таблицу разделов PE-файла, как из необработанных данных на диске, так и через пару анализаторов PE. Я немного запутался в том, как интерпретируются некоторые адреса.Раздел PE-файла Расчет RVA

Например. Из PE необработанного изображения на диске, я вижу это:

.text virtualSize: 0x1A0F71 virtualAddress: 0x1000 rawSize: 0x1A1000

Однако, при использовании некоторых PE анализаторов (LordPE, pedump.me), я вижу это:

.text virtualSize: 0x114d41 virtualAddress: 0x1000 rawSize: 0x114e00

Я не уверен, как интерпретируются эти значения. Это как-то связано с выравниванием и базовым адресом изображения?

Любой вход будет оценен.

Благодаря

источник

2013-10-26 Tony

Это требует психической отладки, размер раздела не влияет на ротавирусы. Хрустальный шар говорит, что вы на самом деле смотрите на два разных файлов. И ваши утилиты PE-перемычки - это 32-разрядные программы, которые вы запускаете в 64-разрядной операционной системе.

Вы должны понимать File System Redirector. 32-битный процесс будет перенаправлен из c: \ windows \ system32 в c: \ windows \ syswow64 и c: \ program files в c: \ program files (x86). Таким образом, ваши утилиты для утилизаторов PE могут открывать 32-разрядную версию исполняемого файла. И да, раздел .text будет значительно меньше.

Скопируйте файл в каталог, на который не распространяется перенаправление, например папка «Документы».

источник

2013-10-26 12:44:00

Спасибо Хансу! У меня было странное чувство, что это происходит. Я только что сделал еще несколько тестов, и моя программа делает именно то, что должно быть. Различия в ценностях меня смутили. Благодаря! – Tony

Может this поможет вам решить эту проблему: enter image description here

источник

2013-10-26 11:33:40

Спасибо Дамиан. У меня уже есть копия этого, но я все еще немного смущен. Я думаю, что я пропускаю что-то очевидное! – Tony

ответ

Смежные вопросы