windows 10 에서 PE 헤더 Image Base 와 ollydebug

windows 10 에서 PE 헤더 Image Base 와 ollydebug

windwos 10에서 올리 디버거를 사용하여 

프로그램을 디버깅 할때 PE 헤더에 

라고 하지만 

올리 디버거 표현시 

310000 을 Base Image 로 잡고 

거기에 text 세션 RVA (1000)를 더한   311000 을 을 코드로 잡으므로 

310000  올리 디버거에서 = 400000 으로 인식 하는데 현재 이유는 모르지만 

모든게 매칭 됩니다. 

추후 리버싱할때 exe 파일의 Base Image 를 310000 으로 하고 계산 하여야 됩니다. 

추가 해당 내용와 관련된 내용 

http://reverserslab.tistory.com/17    << PE 재배치 자료 사이트 

추가 자료 

ASLR ( Address Space Layout Randomization ) 

 ASLR 은 PE 파일이 메모리에 로딩될 때 로딩 시작 주소 값을 랜덤하게 바꾸는 기술입니다.

또한 DLL 파일도 초기에 로딩되는 주소가 매 실행마다 달라집니다. 

http://securityfonder.tistory.com/37 << ASLR 

http://zer0day.tistory.com/66  << ASLR