那么,我们找到了某个 需要修改的绝对地址 的RVA, 将这个RVA转换成FOA后,这个绝对地址是读DWORD ,还是QWORD? 就是说,32位和64位是否有区别?
实验: 找到重定位表的数据,并观察在内存中和文件中的区别
得到某个需要修正绝对地址(就是文件中的数据)的RVA 后,
32位读取4字节 64位程序读取8字节 就是文件中这个绝对地址的数据.
上图是操作系统 修复了重定位表,如果我们自己加载,就需要按照上面的计算方式手工修复重定位表的数据
代码遍历重定位表:
为完待续..................................