PE파일이 메모리에 로딩되었을 떄 각 섹션에서 메모리의 주소와 파일 옵셋을 매핑하여보자.
위의 사진은 리버스코어 블로그에서 퍼온 것으로 메모리에서는 VA로 위치를 표한하며 파일에서는 Offset으로 위치를 표현하는데
그림과 같이 파일에서와 메모리에서의 위치가 차이가 나는 것을 확인할수가 있다. 그렇기에 메모리에서의 값을 확인한 후에 수정을 하고자 할때에는 직접 그 위치의 Offset 값을 구하여 찾아 가야한다. ( 물론 PEView 를 통해 편하게 할수도 있다.)
RAW = RVA - VirtualAddress + PointerToRawData
RAW = 파일에서의 주소
RVA = 메모리에서의 주소
VirtualAddress = 메모리에서의 섹션 시작 위치
PointerToRawData = 파일에서의 섹션 시작 위치
우선 RVA - VirtualAddress를 통하여 메모리에서의 해당 주소가 섹션 시작 위치로 부터 몇번쨰 순서에 있는지를 알기 위함이다. 이를 통하여 메모리에서의 몇번쨰 순서인지를 알게된후에 파일에서의 섹션 시작위치 값을 더해준다면 파일에서의 섹션시작위치 + 순서값 = 을 통하여 파일에서의 주소를 알수가 있다. 이를 통해 다른 블로그의 RVA to RAW를 본다면 훨씬 이해가 쉬울것이라 혼자 생각한다.
'Reversing > Theory' 카테고리의 다른 글
| Practical Malware Analysis - 1 (0) | 2015.07.31 |
|---|---|
| x86 Instruction Set Reference (0) | 2015.07.29 |
| 범용 CPU 레지스터 (1) | 2015.03.04 |
| Assembly Basic Commands (0) | 2015.01.23 |
| PE File Format 0x04 (0) | 2015.01.13 |