[Reversing] RVA → RAW ( Feat. 나뭇잎 )

PE 파일을 메모리에 로딩할 때 각 섹션에서 메모리주소(RVA)와 File Offset을 매핑하는 과정이다.

왜냐하면 FileAlignment, SectionAlignment가 서로 다르기 때문에 Memory상에서의 Section의 크기와,

File상에서의 Section의 크기가 서로 다르다. (남는 부분은 Null Padding값으로 채워진다.)

 

1. 내가 찾으려는 RVA 주소가 포함된 Section을 찾는다.
2. 계산을 통해 File Offset을 찾는다. ( 생각보다 간단하다... )
   Memory쪽 섹션시작 Base를 빼고, File쪽 시작 Base를 더한다.

 

다음에 못하면 비융신 ~~~

 

결국 이게 필요한 순간은 OllyDBG등의 디버거상에서 내가 찾으려는 주소를 발견했을 때,

그 주소를 File상에서 찾고싶을 때 사용되는거다. ( 문자열이 저장된 위치든 뭐든 ㅎㅎ )