[STUDY] #WEEK3 - QUIZ

vinn👩‍💻 2024. 10. 4. 01:47

2024. 10. 4. 01:47

728x90

RVA to RAW

1. RVA = 5000일 때 File offset은?

먼저 해당 RVA값이 속한 섹션을 찾아야 함.

RVA 5000 -> 첫 번째 텍스트 섹션에 속해있음(ImageBase 01000000을 고려해서 VA를 구할 수 있음)

비례식에 따라 계산.

RAW = 5000(RVA) – 1000(VirtualAddress, 메모리에서 헤더 – 텍스트 섹션까지의 거리) + 400(PointerToRawData) = 4400
VirtualAddress가 1000인 이유는 Memory에서 첫 번째 Section이 01001000에서 시작하므로 1000이다. (ImageBase 값을 빼면) PointerToRawData 값이 400인 이유는 File에서 첫 번째 Section이 00000400에서 시작하기 때문이다.

2. RVA = 13314일 때 File Offset은?

RVA = 13314는 세 번째 섹션인 (.rsrc)에 속해있음.
RAW = 13314(RVA) - B000(VirtualAddress) + 8400(PointerToRawData) = 10174

3.RVA = ABA8일 때 File Offset은?

RVA = ABA8는 두 번째 섹션인 (.data)에 속해있음.
RAW = ABA8(RVA) - 9000(VirtualAddress) + 7C00(PointerToRawData) = 97A8

RAW의 결과는 97A8인데 이는 File Offset에서 볼 때 세 번째 Section에 속해있다.

RVA는 두 번째 Section 인데 RAW는 세 번째 Section이라는 것은 말이 안 되므로 "해당 RVA(ABA8)에 대한 RAW 값은 정의할 수 없다." 라고 해야 한다.
이런 결과가 나온 이유는 두 번째 Section의 VirtualSize의 값이 SizeOfRawData 값보다 크기 때문이다.

※ 참고

https://tyeolrik.github.io/reversing/2017/03/15/Reversing-12-RVA-to-RAW.html

RVA to RAW

Hello, I am TyeolRik, Newbie Developer

tyeolrik.github.io

'EVI$ION > 인공지능 악성코드 분류' 카테고리의 다른 글

[리버싱 이 정도는 알아야지] #5. Windows 리버싱 기능 분석(2) (0)	2024.11.21
[리버싱 이 정도는 알아야지] #3. Windows 리버싱 기능 분석(1) (1)	2024.11.21
[SESSION] 3. PE파일(2) (1)	2024.10.04
[STUDY] #WEEK2 - QUIZ (0)	2024.09.24
[SESSION] 2. PE파일 (0)	2024.09.24

윱

[STUDY] #WEEK3 - QUIZ

RVA to RAW

1. RVA = 5000일 때 File offset은?

2. RVA = 13314일 때 File Offset은?

3.RVA = ABA8일 때 File Offset은?

'EVI$ION > 인공지능 악성코드 분류' 카테고리의 다른 글

+ Recent posts

티스토리툴바