我正在查看PEView中的可执行文件,我发现导入表的DataDirectory中列出的RVA是0x649c,导入表位于文件中的偏移量0x649c,这意味着导入表以相同的偏移量开始在内存中,就像在磁盘中一样。我检查了节标题,似乎尽管每个节的VirtualSize和SizeOfRawData都不同,但RVA和PointerToRawData始终是相同的。如果尺寸不同,怎么会这样呢?
答案 0 :(得分:0)
它是相同的字段 - 如果您正在查看磁盘上的文件,那么它就是文件偏移量。如果加载了模块,则加载程序将此值替换为内存中的RVA。
答案 1 :(得分:0)
您的计算机具有较新的4 kb硬盘扇区大小,这就是偏移量相同的原因。