什么时候需要修改rva
看教程时发现有时用importrec修复时需要修改rva和size一栏,有时不需要,那这个是根据什么而定的呢 昨天我脱一个FSG2.0的也是,把大小改了就能修复成功,不然就不行。 很久没来,帮忙灌水FSG 2.0要修复的,提示一下,你觉得im就这么可靠么?
有时候要自己找到输入表的rva然后把最后一个输入表函数的地址减去第一个输入表函数的地址,就是你的size了
以fsg 2.0为例
假设下im给你的rva是00004500,你OD打开下dd 00404500(假设基址是400000)你会发现你的输入表,往上
翻翻是不是发现还有很多输入表函数?往下翻翻是不是还有很多?最后一个减去第一个就是你的size了,而第一个就是你的rva
本想上传一个的,可惜权限不够,不好意思,呵呵
[ 本帖最后由 feitianfox 于 2009-3-23 19:17 编辑 ] 看来这个问题只能这样考虑,1种方法,无论什么情况我都手动查找RVA
2种方法,如果修复不成功再考虑看下会不会是RVA的问题。 你自己可以在im查出rva时候,去OD里面看一下,如果位子对不就行了么。OD里下个DD XXXXXXXX又不费事
页:
[1]