QQ登录

只需一步,快速开始

搜索
查看: 131|回复: 4

[已解决]为什么PE文件每次加载ImageBase的地址都会变化?

[复制链接]
最佳答案
0 
累计签到:2 天
连续签到:0 天
发表于 2017-10-10 10:16:52 | 显示全部楼层 |阅读模式

马上注册加入鱼C,享用更多服务吧^_^

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如题,是因为编译的时候做了设置么?应该是没有加壳的
最佳答案
2017-10-10 16:22:12
最爱酸梅汤 发表于 2017-10-10 16:08
那IMAGE_NT_HEADERS里的ImageBase里岂不是只是个摆设了?没啥用了么

并不是没有用,如果你用IDA静态的分析它,那么IDA的静态代码会以程序中ImageBase作为基址进行处理,这个在一些工具查看文件的属性时,还是必不可少的。只是动态和静态的VA不同,但是它们的RVA还是一样的。
1. 如果您的提问得到满意的答案,请务必选择【最佳答案】;2. 如果想鼓励一下楼主或帮助到您的朋友,可以给他们【评分】作为奖励;
3. 善用【论坛搜索】功能,那里可能有您想要的答案;4. 粘贴代码请点击编辑框上的 <> 按钮,否则您的代码可能会被“吃掉”!
最佳答案
10 
累计签到:573 天
连续签到:6 天
发表于 2017-10-10 14:36:42 | 显示全部楼层
Win7及以上系统会对程序进行随机初始化基地址,对于程序分析没有什么影响。如果是刚刚学习,需要对照着做,可以在虚拟机上装个XP,就可以了。
1. 如果您的提问得到满意的答案,请务必选择【最佳答案】;2. 如果想鼓励一下楼主或帮助到您的朋友,可以给他们【评分】作为奖励;
3. 善用【论坛搜索】功能,那里可能有您想要的答案;4. 粘贴代码请点击编辑框上的 <> 按钮,否则您的代码可能会被“吃掉”!
最佳答案
0 
累计签到:2 天
连续签到:0 天
 楼主| 发表于 2017-10-10 16:08:04 | 显示全部楼层
上善若水··· 发表于 2017-10-10 14:36
Win7及以上系统会对程序进行随机初始化基地址,对于程序分析没有什么影响。如果是刚刚学习,需要对照着做, ...

那IMAGE_NT_HEADERS里的ImageBase里岂不是只是个摆设了?没啥用了么
1. 如果您的提问得到满意的答案,请务必选择【最佳答案】;2. 如果想鼓励一下楼主或帮助到您的朋友,可以给他们【评分】作为奖励;
3. 善用【论坛搜索】功能,那里可能有您想要的答案;4. 粘贴代码请点击编辑框上的 <> 按钮,否则您的代码可能会被“吃掉”!
最佳答案
10 
累计签到:573 天
连续签到:6 天
发表于 2017-10-10 16:22:12 | 显示全部楼层    本楼为最佳答案   
最爱酸梅汤 发表于 2017-10-10 16:08
那IMAGE_NT_HEADERS里的ImageBase里岂不是只是个摆设了?没啥用了么

并不是没有用,如果你用IDA静态的分析它,那么IDA的静态代码会以程序中ImageBase作为基址进行处理,这个在一些工具查看文件的属性时,还是必不可少的。只是动态和静态的VA不同,但是它们的RVA还是一样的。
1. 如果您的提问得到满意的答案,请务必选择【最佳答案】;2. 如果想鼓励一下楼主或帮助到您的朋友,可以给他们【评分】作为奖励;
3. 善用【论坛搜索】功能,那里可能有您想要的答案;4. 粘贴代码请点击编辑框上的 <> 按钮,否则您的代码可能会被“吃掉”!
最佳答案
0 
累计签到:2 天
连续签到:0 天
 楼主| 发表于 2017-10-10 16:38:47 | 显示全部楼层
上善若水··· 发表于 2017-10-10 16:22
并不是没有用,如果你用IDA静态的分析它,那么IDA的静态代码会以程序中ImageBase作为基址进行处理,这个 ...

理解了,谢谢
1. 如果您的提问得到满意的答案,请务必选择【最佳答案】;2. 如果想鼓励一下楼主或帮助到您的朋友,可以给他们【评分】作为奖励;
3. 善用【论坛搜索】功能,那里可能有您想要的答案;4. 粘贴代码请点击编辑框上的 <> 按钮,否则您的代码可能会被“吃掉”!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

小甲鱼强烈推荐上一条 /1 下一条

小黑屋手机版Archiver( 粤公网安备 44051102000370号 | 粤ICP备11014136号

© 2010-2017 FishC.com GMT+8, 2017-10-21 19:52 Powered by Discuz! X2.5 Theme by dreambred

快速回复 返回顶部 返回列表