如何解决PEView和HxD的结果不同可能吗?
PEView和HxD的结果不同。可能吗? 我认为应该一样,因为它是原始数据。
在PEveiw中:
在HxD中:
解决方法
根据我在Windows 10上所有工具(包括PEView 0.9.9)的正确值是“ F8”。您是否在完全相同的环境中运行这两个工具?在VM中?
F8是DOS标头中e_lfanew
字段值的一部分,即与新的可执行标头的偏移量。用外行术语来说,它指向实际的NT标头(PEView中为IMAGE_NT_HEADERS)。 lfa
的意思是long file address
。它是一个32位(DWORD)相对虚拟地址(RVA)值。 IMAGE_NT_HEADERS位于DOS存根和Rich Signature标头(如果存在的话)之后(在notepad.exe中)。
有趣的是,在Windows 7 32位VN上使用PEView和notepad.exe,由于具有不同的Rich Signature标头,因此显示的值为D8
。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。