我已經打開了一個項目,我寫IMAGEHLP.DLL玩弄了一點偏差,我注意到,有似乎是在文件中較大的差距。據我所知,對於每個PE部,節頭給出了其在文件中的偏移爲PhysicalAddress
,以及其作爲SizeOfRawData
尺寸,從而一切從PhysicalAddress
到PhysicalAddress + SizeOfRawData
應該是該部分。但是有大量的EXE文件沒有被這些範圍所覆蓋,所以我必須錯過一些東西。如何映射文件中的EXE其PE部分
我知道我可以使用ImageRVAToSection,並給它一個RVA地址找出哪些節RVA位於請問有什麼辦法做到與文件偏移類似的東西?我怎樣才能找出哪個PE節字節$ ED178或其他屬於什麼?
呀,我解釋我是如何做到這一點,這是行不通的。這個公式所描述的任何範圍都沒有涵蓋一堆空白。我不認爲你知道這是爲什麼? – 2010-08-06 04:30:30