VA和内存地址

Question

这应该是一个简单的问题：我知道 PE 的 VA = RVA + 映像库，现在我尝试在反汇编程序中找到一个字符串，并且恰好位于 .text 部分中的 0042720E 处。

imagebase是400000，2720E是RVA，目前还可以。

但是为什么当我在调试器中加载 exe 时，指令映射的内存是 0140720E ？

0140720E（我在ram中看到的）和0042720E（VA）与FE0000不同，为什么呢？我错过了什么吗？

Answer 1

实际上只有两种可能性：发生了重新分配或者您的 RVA 错误。更有可能的是它的重新分配，特别是如果您由于 ASLR 而在 Windows Vista 或 Windows 7 上运行。根据您附加的方式和使用的调试器，可以让调试器调整报告的地址以匹配 PE 中指定的基本部分加载地址，ollydbg 是其中之一（您必须通过 ollydbg 启动应用程序，对于动态链接库）