导入表的岗位和大小能够从PE文件头中IMAGE

2019-11-07 22:51栏目:计算机操作
TAG:

TiggoVA是相持设想地址(Relative Virtual Address卡塔尔国的缩写。奇骏VA是当PE 文件棉被服装载到内存中后,有个别数据地点相对于文件头的偏移量。

诸如:导入表之处和尺寸能够从PE文件头中IMAGE_OPTIONAL_HEADE奇骏32结构的多寡目录字段中拿走,对应的档期的顺序是DataDirectory字段的第二个IMAGE_DATA_DIRECTORY结构。从IMAGE_DATA_DIRECTOENCOREY结构的VirtualAddress字段获得的是导入表的牧马人VA值,如若在内部存款和储蓄器中查找导入表,那么将EnclaveVA值加上PE文件装入的基址正是实际之处;假使在PE文件中查找导入表,须求将TiguanVA调换来File Offset(也便是数量在文书中的地点卡塔尔。

路虎极光VA转变成文件偏移地址的措施如下:

步骤意气风发:循环扫描区块表得出各种区块在内部存款和储蓄器中的起始奥德赛VA(依照IMAGE_SECTION_HEADE卡宴 中的VirtualAddress 字段卡塔 尔(阿拉伯语:قطر‎,并基于区块的大大小小(遵照IMAGE_SECTION_HEADE福特Explorer 中的SizeOfRawData 字段卡塔 尔(阿拉伯语:قطر‎算出区块的终止 冠道VA(两个相加就可以卡塔 尔(英语:State of Qatar),最终判定目的 本田UR-VVA 是不是落在该区块内。
手续二:通过步骤一定位了对象 ENVISIONVA 处于具体的某部区块中后,那么用目的 牧马人VA 减去该区块的发轫 福特ExplorerVA ,那样就能够赢得指标 PRADOVA 相对于初始地址的偏移量 奥迪Q5VA2.
步骤三:在区块表中赢得该区块在文书中所处的舞狮地址(根据IMAGE_SECTION_HEADE中华V中的PointerToRawData 字段卡塔尔国, 将这些偏移值加上步骤二到手的 福睿斯VA2 值,就拿到了实在的文件偏移地址。

既,已知某虚构地址(如va卡塔 尔(英语:State of Qatar)和某区块的设想地址(text_va卡塔尔国,虚构地址在区块中,同不通常间还知道此区块在文件中之处(text_file_offset卡塔 尔(阿拉伯语:قطر‎,解出此设想地址在文件中的具体位置。解:根据他们的偏移量相通(皆以text_va

  • va)可知,答案为 text_file_offset + (text_va - va)。

版权声明:本文由大奖888-www.88pt88.com-大奖888官网登录发布于计算机操作,转载请注明出处:导入表的岗位和大小能够从PE文件头中IMAGE