二丶模块地址(image Base)
模块地址,就是exe加载到内存的时候,所在的地址,
比如MZ位置,在那个位置,那么对应模块地址就是这个位置
在OD中的内存中查看就是PE头
?...五丶VAtoRaw(虚拟地址,转化为文件偏移位置,就是虚拟地址的代码,在文件那个偏移位置存储)
首先你要明白 RVA 怎么计算,FA怎么看.
我们随便找一个PE文件(我用最小的标准PE)
?...举个例子
VA = 401456
RVA = 401456 - (.text的位置当然这个你得自己看,可能不是,这里默认是了)401000 = 456
FA = 456 + (文件中节表中的PointRawData...+ 文件PointerToRawData 字段
列如VA = 401596
当然,节区你要看内存,上面已经说了怎么看....(怎么看节区表)
401596 - 401000 + 400
= 596 + 400
= 996 (FA)
如果按照上面的公式,我们再来计算一遍
VA = 401596
IMAGEbase