刚犯了个低级错误!
本以为对概念烂熟于心可是还是犯了个错误。。。
看了Billy Belcebu的第一个ring 3病毒代码,以为是作者错了
搞了半天是自己对对齐概念的理解有问题。
该病毒代码是通过扩展最后一个节的长度来实现感染的
入口RVA是最后一个节的VirtualAddress+最后一个节的SizeOfRawData
我一直以为他错了
是VirtualAddress+VirtualSize按section对齐的大小
现在想起来,对齐是在最后实现的,是在内容后面添0,所以说入口定位到
1.最后一个节的VirtualAddress+最后一个节的SizeOfRawData
2.最后一个节的VirtualAddress+最后一个节的VirtualSize按section对齐的大小
3.最后一个节的VirtualAddress+最后一个节的VirtualSize
都是对的(未经代码证实,少后会有代码验证)
以上是我的理解,如果还有错误的话,恳请大家指正
