0 前言 此篇文章想写如何通过工具手查导出表、PE文件代码编程过程中的原理。文笔不是很好，内容也是查阅了很多的资料后整合出来的。希望借此加深对PE文件格式的理解，也希望可以对看雪论坛有所贡献。因为了解PE文件格式知识点对于逆向破解还是病毒分析都是很重要的，且基于对PE文件格式的深入理解还可以延伸 ...

RVA是相对虚拟地址（Relative Virtual Address）的缩写，顾名思义，它是一个“相对”地址，也可以说是“偏移量”，PE文件的各种数据结构中涉及到地址的字段大部分都是以RVA表示的。 准 确地说，RVA就是当PE文件被装载到内存中后，某个数据的位置相对于文件头的偏移量。举个 ...

　　一丶简介PE的两种状态 　　首先我们知道PE有两种状态.一种是内存展开.一种是在文件中的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎么做.你知道虚拟地址.或者文件位置了.那么你怎么自己进行转换. 也就是说通过文件中的节数据找到在内存中这块数据的位置 ...

　　　　　　　　　　　　PE知识复习之PE的RVA与FOA的转换 一丶简介PE的两种状态 　　首先我们知道PE有两种状态.一种是内存展开.一种是在文件中的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎么做.你知道虚拟地址.或者文件位置了.那么你怎么自己进行 ...

转自：http://www.cnblogs.com/RyanHuang/archive/2012/05/30/2525006.html 已知一个虚拟地址0x01AF5518, 则转换的过程如下: 　　注意: *这里讨论的以Windows下普通模式分页的情况, 也就是2级页表的情况* 1. ...

已知一个虚拟地址0x01AF5518, 则转换的过程如下: 　　注意: *这里讨论的以Windows下普通模式分页的情况, 也就是2级页表的情况* 1.首先把虚拟地址拆分成3个部分(低12位, 中10位, 高10位), 换成2进制如下: 　　-> 0000 0001 1010 ...

转自：https://blog.csdn.net/yang_chen_shi_wo/article/details/50275059 内核从3G开始的那一段是连续映射 而且这种固定映射最大到896M的地址范围,也即从0xc0000000-0xf7ffffff的虚拟地址采用固定映射,称为内核 ...

转自：https://blog.csdn.net/shuningzhang/article/details/38090621 应用程序只能提供一个虚拟地址，也可以通过如下方法获取物理地址，当然得调用驱动。 Linux采用页表的概念来管理虚拟空间，内核在处理虚拟地址时都必须将其转换为物理地址 ...