123456

摘要： PE文件与虚拟内存间的映射在调试漏洞时，可能经常需要做这样两种操作。(1)静态反汇编工具看到的PE文件中某条指令的位置是相当于磁盘文件而言的，即所谓的文件偏移，我们可能还需要知道这条指令在内存中所处的位置，即虚拟内存地址(VA)。(2)反之，在调试时看到的某条指令的地址是虚拟内存地址，我们也经常需要回到PE文件中找到这条指令对应的机器码。为此，我们需要弄清楚PE文件地址和虚拟内存地址之间的映射关系。首先，我们先看几个重要的概念。文件偏移地址(File Offset Address)数据在PE文件中的地址叫文件偏移地址。这是文件在磁盘上存放时相对于文件开头的偏移。装载基址(Image Base) 阅读全文