在讀《逆向工程核心原理》時,第13章尋找匯出函式的虛擬地址時出了問題,問題如下:
NT頭的可選頭在檔案中偏移地址為0x108,根據偏移
imagebase的檔案偏移地址為0x124
值為【0x77DE0000】可是OD里面
全部是0x75開頭的?而且假如要找的函式名是AddAtomW。根據可選頭的偏移量找到RVA of EXPORT Directory的值即IMAGE_EXPORT_DIRECTORY結構體的地址找到成員AddressOfNames的地址,根據AddAtomW在名字陣列里面的索引找到ordinalarray陣列相應的值,再根據ordinal的值作為索引找到函式的相對虛擬地址地址為【0x000430ED】,再在OD里面根據名字找到函式AddAtomW的虛擬地址
那么按這樣來的話,正確的image=0x754F30ED-0x000430ED=0x754B0000和0x77DE0000不一樣,這是為什么?請教一下各位大佬orz
uj5u.com熱心網友回復:
實際加載地址不一樣,據說是高版本 windows 的防病毒木馬等惡意軟體的;你可以試試你的程式,每次加載的基址可能都是不一樣的。轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/108391.html
標籤:安全技術/病毒