2022年04月06日
PE结构是Windows下可执行文件的规范结构,可执行文件的运载、运行内存遍布、执行等都依赖于PE结构,而在逆向分析手机软件时,为了更好地有目地、更有效地掌握程序流程,务必把握PE结构。
PE(Portable Executable),就可以移植的执行体。在Windows平台(包含Win 9x、Win NT、Win CE……)下,全部的可执行文件(包含EXE文档、DLL文件、SYS文件、OCX文档、COM文件……)均应用PE文档结构。这种
2022年04月06日
用OD程序调试调试程序时见到的地址与应用C32Asm以十六进制方式查询程序流程时的地址方式有一定的差别。程序流程在内存中与在文件中具有不一样的地址方式,并且PE有关的地址不仅有这2种方式。与PE构造有关的地址方式有3种,且这3种地址形式可以开展变换。
1. 与PE构造有关的3种地址
与PE构造有关的3种地址是VA(虚似地址)、RVA(相对性虚似地址)和FileOffset(文件偏移地址)。
VA(虚拟地址):PE 文件投射到内存后的地址。
RVA(相对性虚似地址):内存地址相对性于投射基地址的