PE文件節RVA計算

Question

我目前正在查看PE文件的節表，既從磁盤上的原始數據，也通過幾個PE分析器。我對如何解釋一些地址有點困惑。

例如。從磁盤上的原始PE映像，我看到：

.text virtualSize: 0x1A0F71 virtualAddress: 0x1000 rawSize: 0x1A1000 

然而，使用一些PE分析儀（LordPE，pedump.me）的時候，我看到：

.text virtualSize: 0x114d41 virtualAddress: 0x1000 rawSize: 0x114e00 

我不知道這些值如何被解釋。這與對齊有關，並且圖像的基地址？

任何輸入，將不勝感激。

感謝

Answer 1

這需要心理調試，一個部分的大小不會受到RVA。水晶球說，你實際上看着兩個不同的文件。而您的PE自卸車實用程序是您在64位操作系統上運行的32位程序。你需要了解File System Redirector。 32位進程將從c：\ windows \ system32重定向到c：\ windows \ syswow64，並從c：\ program files重定向到c：\ program files（x86）。因此，您的PE自卸車實用程序可能會打開32位版本的可執行文件。是的，.text部分將會小得多。

將文件複製到不受重定向影響的目錄，如Documents文件夾。

Answer 2

也許this會幫助你解決問題：