Information Security

RAW

1. RAW

Relative Virtual Address, 파일에서의 주소

File의 Program이 실행되어 Memory에 올라와서 Process가 된 상태에서 File에서의 offset(RAW) 값을 알고자 할 때
RVA, VA, PTRD를 이용해서 RAW 값을 찾을 수 있다.

 

2. RAW 구하는 공식

RAW = RVA – VA + PTRD

 

상황> notepad.exe에서 import되는 첫번째 .dll의 RAW(File Offset) 값을 RAW 공식에 맞춰 구하라.

RAW = RVA - VA + PTRD
    = 2 04BC - 2 0000 + 1 CC00
    = 1 D0BC

RAW : Offset, 파일에서의 주소

RVA : Relative Virtual Address, 메모리에서의 주소
peview> IMAGE_NT_HEADERS – IMAGE_OPTIONAL_HEADER – IMPORT Table의 RVA

VA : Virtual Address, 메모리에서의 section 시작 주소(자기 section)
peview> IMAGE_SECTION_HEADER .idata – RVA

PTRD : Point To Raw Data, 파일에서의 section 시작 주소(자기 section)
peview> IMAGE_SECTION_HEADER .idata – Point To Raw Data

 

3. 예외

일반적으로 Virtual Size < Size Of Raw Data이지만, Virtual Size > Size Of Raw Data인 경우 위의 공식으로 RAW를 구할 수 없다.

manager

Subject

Computer Science
Cloud
Security
Investment

GitHub

GitHub
ⓒ Waterhouse. All Right Reserved 2017-2022. nullvszero@gmail.com | Theme: yaatra by CodeVibrant.
Back To Top