2021年7月30日
WindowsPE PE头
摘要: 0x01IMAGE_DOS_HEADER 首先是dos头 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of 阅读全文
posted @ 2021-07-30 19:33 紅人 阅读(72) 评论(0) 推荐(0) 编辑
WindowsPE RVA地址转换FOA地址
摘要: 当我们在od 调试时 看到虚拟rva 如何转换到对应的foa地址 00477a40 就是他的va va=rva+入口地址 先看一下内存地址 可以看到此代码地址 位于 upx1 块内 在用pe工具查看 他的文件偏移地址 foa 可以看到是 400h 计算公式就是 upx1(rva)-当前你要找到rva 阅读全文
posted @ 2021-07-30 18:56 紅人 阅读(187) 评论(0) 推荐(0) 编辑