Intereting Posts
在确定菜单项目的位置时是否有任何标准要遵循?
无法利用所有文件的shellshock漏洞
在C#中确定正版Windows安装
在PyCharm中切换项目和编辑器的快捷方式?
如何保持DEP杀死我的JITexception处理程序?
无法使用java.nio.channels.FileLock在Linux上locking文件
Windows Azure DocumentRoot
从ubuntu上的laravel开始
如何在用户的AppData目录中创build目录和文件?
如果CPU使用率持续高于一定数量,则发送警报电子邮件
Set-ItemProperty将registry值设置为string而不是DWord,为什么?
用accept4()和O_CLOEXEC设置SOCK_CLOEXEC标志的目的是什么
如何validation在本地主机上运行的HTML / CSS?
页面显示纯文本,而不是HTML
如何确定安装字体的O / S文件名?
入口点是否正确?
在这些日子里,我正在读一些PE可执行文件规范。 然后我做了小C程序做push ebp, pop ebp和我编译它。 编译成功后,我打开可执行文件中的PE文件,查看位置PE_magic + PE_header_size + PE_OPTHDR_entrypoint ,其中PE magic是文件中第一次出现“PE”string,PE_header_size是24,PE_OPTHDR是16,根据PE&COFF规范。 在那个位置我发现地址0x1000,但我的文件的长度只有0x600。 所以我在正确的位置,或入口点(这是在0x200的方式)地址设置不正确?
我包括我的文件比赛和我的代码的图像。
代码(在项目属性中,我已经取消选中标准库的添加):
- 寻找一个更好的过程来删除远程计算机上的文件夹
- 当复制到Dropbox文件夹时,LastWriteTime被修改
- 如何监视/日志文件访问Windows下的远程文件夹?
- 在不使用FindFirstFile的情况下在目录中迭代文件
- 不想要的回车在stream中
int main() { int a = 0; __asm { push ebp pop ebp } }
您在文件中看到的内容与内存中的内容不匹配。 正如你所看到的,文件对齐是200美元,而内存部分对齐是$ 1000。 这通常意味着文件的填充比它所代表的图像少。
更重要的是,你可以看到.text的section表条目的相对虚拟地址是$ 1000(相对于Image Base),而原始地址是$ 200(相对于文件的开头)。 几乎所有说某个东西的地方都是RVA,这意味着它们将从Image Base引用的东西的偏移量存储在内存中。
所以不,地址设置不正确 – .text开始于$ 1000(相对于图像库),这就是入口点所指向的地方。