求教，为啥差了9个字节？计算法则是？

冥界3大法王 · 发表于 2021-2-1 10:42

本帖最后由冥界3大法王于 2021-2-1 15:43 编辑

前者是WinHEX中取得的FOA
后者是回车来来到的实际调用的VA
如图所示，转到后的地址需要减字节，才是实际地址。
转换法则是。。。。？

pzx521521 · 发表于 2021-2-1 10:54

冥界3大法王 · 发表于 2021-2-1 10:56

pzx521521 发表于 2021-2-1 10:54
https://github.com/pzx521521/PE32-RVA-FileOffset

@pzx521521
没看懂题目，我要的不是转换地址工具
问的是为什么？差了9个字节。

pzx521521 · 发表于 2021-2-1 10:59

冥界3大法王发表于 2021-2-1 10:56
@pzx521521
没看懂题目，我要的不是转换地址工具
问的是为什么？差了9个字节。

为啥: windows下pe的加载就是这样的, exe加载到内存里面运行涉及到一个RVA和offset
计算法则是: 源码都给你了..

wangyujie96 · 发表于 2021-2-1 12:53

cm发一下？图上A3C处的字节码没法正常反汇编，你确定是这个地址？

冥界3大法王 · 发表于 2021-2-1 12:55

wangyujie96 · 发表于 2021-2-1 14:48

原来是易语言，2A33处是字节集的首部，后面才是数据。

wangyujie96 · 发表于 2021-2-1 14:59

如果我没记错的话，易语言字节集的结构是：4字节固定头+4字节表示长度+数据....。
这个cm有点奇怪，2A33是字节集位置-1，2A34才是真实起始位置，字节集固定头是 01 00 00 00。

帐号		自动登录	找回密码
密码			注册[Register]

[新手问题] 求教，为啥差了9个字节？ 计算法则是？