[求助]初学小白求助，PE虚拟地址和文件偏移地址的换算-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
TkBinary 雪币： 364 活跃值： (10653) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 438 粉丝 225 关注私信	TkBinary 5 2 楼 PE 分为两种状态,第一种内存状态, 第二种文件中存储的状态. 内存对齐与文件对齐不一致才要进行转换 1. 内存地址 - IMAGEBASE = rva 相对偏移地址. 计算出了内存地址距离imagebase的相对偏移. 但是我们不知到落入那个节中. 所以还需要计算出RVA 与节开始的差值偏移 2. RVA 判断落入那个节中差值 = RVA - 节.VirtuallAddress 3.差值偏移是固定的. 是距离这个节的偏移. 不管你是文件中也好. 内存中也好.都是一样的. 4.如果是想要找内存转文件: 那么 FOA = 差值偏移 + 节.PointToRawData 5.如果文件想转到内存. 1.判断在那个节中 2.计算出差值偏移 3.差值偏移 +节.VirtuallAddress = RVA 4.RVA + IMAGEBASE = VA 详情参考我博客 026K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0L8X3u0D9L8$3N6K6i4K6u0W2j5$3!0E0i4K6u0r3K9f1u0A6L8X3q4J5P5g2)9J5c8Y4m8Q4x3V1j5&6y4K6x3K6y4K6l9K6i4K6u0W2K9s2c8E0L8l9`.`. 最后于 2020-6-19 09:11 被TkBinary编辑，原因： 2020-6-19 09:07 1
TkBinary 雪币： 364 活跃值： (10653) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 438 粉丝 225 关注私信	TkBinary 5 3 楼无最后于 2020-6-19 09:08 被TkBinary编辑，原因：论坛卡了发了两次 2020-6-19 09:07 0
hgyihui 雪币： 58 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hgyihui 4 楼感谢TkBinary老哥的指导，以前默认以为.text段在0x400，用软件查了一下这个文件的不一样，是在0x600，搞清楚了，谢谢了 2020-6-19 09:55 0
hgyihui 雪币： 58 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hgyihui 5 楼感谢TkBinary老哥的指导，以前默认以为.text段在0x400，用软件查了一下这个文件的不一样，是在0x600，搞清楚了，谢谢了 2020-6-19 09:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
TkBinary 雪币： 364 活跃值： (10653) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 438 粉丝 225 关注私信	TkBinary 5 2 楼 PE 分为两种状态,第一种内存状态, 第二种文件中存储的状态. 内存对齐与文件对齐不一致才要进行转换 1. 内存地址 - IMAGEBASE = rva 相对偏移地址. 计算出了内存地址距离imagebase的相对偏移. 但是我们不知到落入那个节中. 所以还需要计算出RVA 与节开始的差值偏移 2. RVA 判断落入那个节中差值 = RVA - 节.VirtuallAddress 3.差值偏移是固定的. 是距离这个节的偏移. 不管你是文件中也好. 内存中也好.都是一样的. 4.如果是想要找内存转文件: 那么 FOA = 差值偏移 + 节.PointToRawData 5.如果文件想转到内存. 1.判断在那个节中 2.计算出差值偏移 3.差值偏移 +节.VirtuallAddress = RVA 4.RVA + IMAGEBASE = VA 详情参考我博客 026K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0L8X3u0D9L8$3N6K6i4K6u0W2j5$3!0E0i4K6u0r3K9f1u0A6L8X3q4J5P5g2)9J5c8Y4m8Q4x3V1j5&6y4K6x3K6y4K6l9K6i4K6u0W2K9s2c8E0L8l9`.`. 最后于 2020-6-19 09:11 被TkBinary编辑，原因： 2020-6-19 09:07 1
TkBinary 雪币： 364 活跃值： (10653) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 438 粉丝 225 关注私信	TkBinary 5 3 楼无最后于 2020-6-19 09:08 被TkBinary编辑，原因：论坛卡了发了两次 2020-6-19 09:07 0
hgyihui 雪币： 58 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hgyihui 4 楼感谢TkBinary老哥的指导，以前默认以为.text段在0x400，用软件查了一下这个文件的不一样，是在0x600，搞清楚了，谢谢了 2020-6-19 09:55 0
hgyihui 雪币： 58 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hgyihui 5 楼感谢TkBinary老哥的指导，以前默认以为.text段在0x400，用软件查了一下这个文件的不一样，是在0x600，搞清楚了，谢谢了 2020-6-19 09:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 [求助]初学小白求助，PE虚拟地址和文件偏移地址的换算

" class="anchor" href="# ">