PEView 和 HxD 的結果是不同的。 可能嗎?
[英]The result of PEView and HxD is different. Is it possible?
問題描述
PEView 和 HxD 的結果是不同的。 可能嗎? 我認為它應該是相同的,因為它是原始數據。
在 PEveiw 中:
在 HxD 中:
1 個解決方案
解決方案1
1 2020-08-22 16:36:08
根據我在 Windows 10(包括 PEView 0.9.9)上的所有工具,正確的值是“F8”。 您是否在完全相同的環境中運行這兩個工具? 在虛擬機中?
F8是DOS header中e_lfanew字段值的一部分,即偏移到新的可執行文件header。 通俗地說,它指向實際的 NT header(PEView 中的 IMAGE_NT_HEADERS)。 lfa表示long file address 。 它是一個 32 位 (DWORD) 相對虛擬地址 (RVA) 值。 IMAGE_NT_HEADERS 位於 DOS 存根和 Rich Signature header(如果存在)之后(在 notepad.exe 中存在)。
有趣的是,在 Windows 7 32 位 VN 上使用 PEView 和 notepad.exe,由於不同的豐富簽名 header,顯示的值為D8 。
是否可以從可執行文件中的.frm文件修改設置?
[英]Is it possible to modify the settings from an .frm file in the executable?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.