0 前言 此篇文章想寫如何通過工具手查導出表、PE文件代碼編程過程中的原理。文筆不是很好，內容也是查閱了很多的資料后整合出來的。希望借此加深對PE文件格式的理解，也希望可以對看雪論壇有所貢獻。因為了解PE文件格式知識點對於逆向破解還是病毒分析都是很重要的，且基於對PE文件格式的深入理解還可以延伸 ...

RVA是相對虛擬地址（Relative Virtual Address）的縮寫，顧名思義，它是一個“相對”地址，也可以說是“偏移量”，PE文件的各種數據結構中涉及到地址的字段大部分都是以RVA表示的。 准 確地說，RVA就是當PE文件被裝載到內存中后，某個數據的位置相對於文件頭的偏移量。舉個 ...

　　一丶簡介PE的兩種狀態 　　首先我們知道PE有兩種狀態.一種是內存展開.一種是在文件中的狀態.那么此時我們有一個需求. 我們想改變一個全局變量的初始值.此時應該怎么做.你知道虛擬地址.或者文件位置了.那么你怎么自己進行轉換. 也就是說通過文件中的節數據找到在內存中這塊數據的位置 ...

　　　　　　　　　　　　PE知識復習之PE的RVA與FOA的轉換 一丶簡介PE的兩種狀態 　　首先我們知道PE有兩種狀態.一種是內存展開.一種是在文件中的狀態.那么此時我們有一個需求. 我們想改變一個全局變量的初始值.此時應該怎么做.你知道虛擬地址.或者文件位置了.那么你怎么自己進行 ...

轉自：http://www.cnblogs.com/RyanHuang/archive/2012/05/30/2525006.html 已知一個虛擬地址0x01AF5518, 則轉換的過程如下: 　　注意: *這里討論的以Windows下普通模式分頁的情況, 也就是2級頁表的情況* 1. ...

已知一個虛擬地址0x01AF5518, 則轉換的過程如下: 　　注意: *這里討論的以Windows下普通模式分頁的情況, 也就是2級頁表的情況* 1.首先把虛擬地址拆分成3個部分(低12位, 中10位, 高10位), 換成2進制如下: 　　-> 0000 0001 1010 ...

轉自：https://blog.csdn.net/yang_chen_shi_wo/article/details/50275059 內核從3G開始的那一段是連續映射 而且這種固定映射最大到896M的地址范圍,也即從0xc0000000-0xf7ffffff的虛擬地址采用固定映射,稱為內核 ...

轉自：https://blog.csdn.net/shuningzhang/article/details/38090621 應用程序只能提供一個虛擬地址，也可以通過如下方法獲取物理地址，當然得調用驅動。 Linux采用頁表的概念來管理虛擬空間，內核在處理虛擬地址時都必須將其轉換為物理地址 ...