perbincangan mengenai PE(protable executable) Header.
CFF explorer boleh listkan export function utk sebarang dll, nama dan alamat(RVA). Bagaimana nak convert rva ke file offset.
1) pastikan lokasi rva tersebut dalam section mana
a) 'Section Headers'(dlm CFF) menyenaraikan senarai section yg ada. Gunakan kolum 'Virtual Address'(sebenarnya rva address) dan Virtual size. Contoh RVA=0x6380.
Berdasarkan rajah di atas, 0X6380 berada dalam section '.text'(bermula pada 0x1000 bersaiz 0x2A19B).
2) file offset = RVA - (section rva start) + (section raw address)
= 0x6380 - 0x1000 + 0x400
= 0x5780
ps: boleh semak guna 'Address Converter' dlm CFF
CFF explorer boleh listkan export function utk sebarang dll, nama dan alamat(RVA). Bagaimana nak convert rva ke file offset.
1) pastikan lokasi rva tersebut dalam section mana
a) 'Section Headers'(dlm CFF) menyenaraikan senarai section yg ada. Gunakan kolum 'Virtual Address'(sebenarnya rva address) dan Virtual size. Contoh RVA=0x6380.
Berdasarkan rajah di atas, 0X6380 berada dalam section '.text'(bermula pada 0x1000 bersaiz 0x2A19B).
2) file offset = RVA - (section rva start) + (section raw address)
= 0x6380 - 0x1000 + 0x400
= 0x5780
ps: boleh semak guna 'Address Converter' dlm CFF
No comments:
Post a Comment
Terima kasih