PE文件节RVA计算

Question

我目前正在查看PE文件的节表，既从磁盘上的原始数据，也通过几个PE分析器。我对如何解释一些地址有点困惑。

例如。从磁盘上的原始PE映像，我看到：

.text virtualSize: 0x1A0F71 virtualAddress: 0x1000 rawSize: 0x1A1000 

然而，使用一些PE分析仪（LordPE，pedump.me）的时候，我看到：

.text virtualSize: 0x114d41 virtualAddress: 0x1000 rawSize: 0x114e00 

我不知道这些值如何被解释。这与对齐有关，并且图像的基地址？

任何输入，将不胜感激。

感谢

Answer 1

这需要心理调试，一个部分的大小不会受到RVA。水晶球说，你实际上看着两个不同的文件。而您的PE自卸车实用程序是您在64位操作系统上运行的32位程序。你需要了解File System Redirector。 32位进程将从c：\ windows \ system32重定向到c：\ windows \ syswow64，并从c：\ program files重定向到c：\ program files（x86）。因此，您的PE自卸车实用程序可能会打开32位版本的可执行文件。是的，.text部分将会小得多。

将文件复制到不受重定向影响的目录，如Documents文件夹。

Answer 2

也许this会帮助你解决问题：