3

我正在分析PE结构。MSDN 中的一些文章(http://msdn.microsoft.com/en-us/magazine/bb985997.aspx)说

"IMAGE_DIRECTORY_ENTRY_IMPORT" points to the imports(an array of IMAGE_IMPORT_DESCRIPTOR structures).

我用 010 Editor PE 模板检查了实际值。但是该值似乎以某种方式编码,我不知道如何解释。下面的图片清楚地解释了这种情况问题。一些建议将不胜感激......!

在此处输入图像描述

在此处输入图像描述

4

1 回答 1

2

我查看了模板,看起来“FOA”注释是通过将 RVA 传递给“RVA2FOA”函数生成的,看起来它正在将 RVA 转换为文件偏移量。

这是有道理的,文件偏移量是您经常想知道的(尤其是在 HEX 编辑器中,您必须按文件偏移量导航),而 FOA 看起来可以是 File Offset Something-or-other 的缩写。

于 2013-06-28T15:32:57.180 回答