最爱酸梅汤 发表于 2017-10-10 10:16:52

为什么PE文件每次加载ImageBase的地址都会变化?

如题,是因为编译的时候做了设置么?应该是没有加壳的

上善若水··· 发表于 2017-10-10 14:36:42

Win7及以上系统会对程序进行随机初始化基地址,对于程序分析没有什么影响。如果是刚刚学习,需要对照着做,可以在虚拟机上装个XP,就可以了。

最爱酸梅汤 发表于 2017-10-10 16:08:04

上善若水··· 发表于 2017-10-10 14:36
Win7及以上系统会对程序进行随机初始化基地址,对于程序分析没有什么影响。如果是刚刚学习,需要对照着做, ...

那IMAGE_NT_HEADERS里的ImageBase里岂不是只是个摆设了?没啥用了么

上善若水··· 发表于 2017-10-10 16:22:12

最爱酸梅汤 发表于 2017-10-10 16:08
那IMAGE_NT_HEADERS里的ImageBase里岂不是只是个摆设了?没啥用了么

并不是没有用,如果你用IDA静态的分析它,那么IDA的静态代码会以程序中ImageBase作为基址进行处理,这个在一些工具查看文件的属性时,还是必不可少的。只是动态和静态的VA不同,但是它们的RVA还是一样的。

最爱酸梅汤 发表于 2017-10-10 16:38:47

上善若水··· 发表于 2017-10-10 16:22
并不是没有用,如果你用IDA静态的分析它,那么IDA的静态代码会以程序中ImageBase作为基址进行处理,这个 ...

理解了,谢谢
页: [1]
查看完整版本: 为什么PE文件每次加载ImageBase的地址都会变化?