0

我目前正在查看 PE 文件的节表,既来自磁盘上的原始数据,也来自几个 PE 分析器。我对如何解释某些地址有点困惑。

例如。从磁盘上的原始 PE 映像中,我看到:

.text    virtualSize: 0x1A0F71  virtualAddress: 0x1000  rawSize: 0x1A1000

然而,当使用一些 PE 分析器(LordPE、pedump.me)时,我看到了这个:

.text    virtualSize: 0x114d41  virtualAddress: 0x1000  rawSize: 0x114e00

我不确定这些值是如何被解释的。这与对齐有关,以及图像的基地址?

任何输入将不胜感激。

谢谢

4

2 回答 2

4

也许可以帮助您解决问题: 在此处输入图像描述

于 2013-10-26T11:33:40.680 回答
2

这需要心理调试,部分的大小不受 RVA 的影响。水晶球表示您实际上正在查看两个不同的文件。您的 PE 转储程序实用程序是您在 64 位操作系统上运行的 32 位程序。

您必须了解文件系统重定向器。32 位进程将从 c:\windows\system32 重定向到 c:\windows\syswow64 并从 c:\program files 重定向到 c:\program files (x86)。因此,您的 PE 转储程序很可能会打开 32 位版本的可执行文件。是的,.text 部分会小很多。

将文件复制到不受重定向影响的目录,例如您的 Documents 文件夹。

于 2013-10-26T12:44:00.540 回答