PE-Crypters : uno sguardo da vicino al c.d. "formato" PE
@DrWatson
Published in
guide hacker
· 6 years ago
... i tuffarci nel codice sara' pero' il caso che parliamo dei concetti di ImageBase e RVA che come avrete constatato permeano tutta la struttura del PE. #ImageBase e Relative Virtual Address# L'image base e' sostanzialmente l'indirizzo lineare a cui il loader mappera' l'immagine dell'eseguibile quando crea un nuovo processo, o carica un modulo (DLL). Questo indirizzo, riportato nel campo OptionalHeader.ImageBase, e' _specifico_ per ogni eseguibile ed e' essenzialmente l'indirizzo utilizzato (o specificato da noi) dal linker per risolvere i fixup. Tuttavia non sempre il loader puo' caricare l'immagine alla ImageBase specificata (detta appunto "preferred"): ...