如何从 Windows 可执行文件的资源表中获取资源数据条目的地址?
问题描述 投票:0回答:1
我正在尝试熟悉PE格式的资源表,我想我已经掌握了它的窍门,除了资源树中数据条目叶节点的rva应该指向该资源表的开头资源数据,但事实并非如此。
在下面发布的图像中(来自 010 十六进制编辑器),选择了一个资源数据条目。如图所示,0x28AF0是资源数据的实际地址,但DataRVA的值为0x2BEF0,实际上超出了文件的大小。 DataRVA 的最后一个字节和该数据以及资源表中其他数据的实际地址匹配,因此我认为它们是连接的,但它们之间的差异 (0x3400) 在整个资源表中并不一致。那么实际地址是怎么得到的呢?
如果需要,很乐意提供 PE 标头信息或可执行文件本身。
1个回答
0
投票
投票
我必须调试一个开源 PE 分析器才能了解它是如何计算的。公式为:
偏移量(实际地址)= DataRVA - Section.VirtualAddress + Section.PointerToRawData
where Section.VirtualAddress <= DataRVA < (Section.VirtualAddress + Section.VirtualSize).
最新问题
- JPA查询内存泄漏?
- 在CKEditor中删除新行时如何防止块样式传播到后面的块?
- 如何在 Angular 2 中的 md-input 中验证电子邮件地址
- 迁移学习期间顺序模型中tensorflow_hub.KerasLayer的ValueError
- 如何通过类变量访问所有枚举成员?
- Springboot Keycloak Admin添加角色或重置密码错误
- React Native/Expo:无法读取 null 的属性“bubblingEventTypes”
- Autodesk Viewer getExternalIdMapping 长时间执行
- 如何获取使用Rest Api运行的Azure机器学习服务管道的状态?
- Teams 消息扩展:将授权标头添加到访问 Costum Web 服务器的 URL
- Next.js 应用程序路由在部署到 cPanel 后不起作用
- 从 GLUE 创建 redshift 表时出现错误
- ios 模拟器 Visual Studio Mac 2022 中的 Maui 应用程序不占用整个屏幕
- 使用 Ansible 启动处于停止状态的服务
- 如何在运行时访问 IEnumerable 的值<T>
- 如何指定使用 Azure 通信服务呼叫谁?
- 如何计算Dataframe大小?
- Spring core 5.3 41个jar文件
- 处理 Fabric Notebooks 中的秘密
- 帖子标题忽略上下文和模式,不适用于渲染中提供的 postId 和 postType 上下文
© www.soinside.com 2019 - 2024. All rights reserved.