驱动sys被加载进入物理内存后,PE section里面的某些内容会被改变??

楼主^#

更多发布于：2008-07-16 12:15

最近做驱动节操作的东西,发现
驱动被系统加载后,在内存中某些节的某些位置,竟然和sys文件中的不同...why??望大牛指教
废话少说,上图:(以windows自带的tdi.sys做sample)
首先:
用PETools查看tdi.sys的节信息

图片：1.jpg

然后vmware+windbg调试,找到tdi的内存位置

图片：2.jpg

db某一个节出来看看,

图片：3.jpg

这个是uedit打开的tdi.sys文件,同样定位到一样的节:

图片：4.jpg

明显有一些位置的值不同,为什么会出现这种状况呢??
windows加载驱动后,还做了修改么??

icedog

killvxk

论坛版主

加关注写私信

沙发^#

发布于：2008-07-16 14:43

peloader的重定位，或者内存系统的重定位

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

petsatan 驱动牛犊注册日期2007-09-03 最后登录2016-01-09 粉丝0 关注0 积分12分威望133点贡献值0点好评度17点原创分0分专家分0分加关注写私信	板凳^# 发布于：2008-07-17 07:58 LS是不是和exe文件加载到内存一样，添加了某些信息并重定位了？
	回复(0) 喜欢(0)

marsback 驱动牛犊注册日期2008-09-10 最后登录2012-02-18 粉丝0 关注0 积分1分威望2点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地板^# 发布于：2008-10-15 04:03 我ida里面的sys代码，和用windbg看到的加载到内存里的代码也有不一样。
	回复(0) 喜欢(0)

wanted999 驱动牛犊注册日期2006-03-28 最后登录2012-08-13 粉丝0 关注0 积分519分威望429点贡献值0点好评度48点原创分0分专家分0分加关注写私信	地下室^# 发布于：2008-12-07 03:56 直接比较当然不一样了
	回复(0) 喜欢(0)

zhoujiamurong 驱动小牛注册日期2006-03-20 最后登录2009-05-06 粉丝4 关注0 积分1081分威望360点贡献值0点好评度215点原创分0分专家分0分加关注写私信	5楼^# 发布于：2009-01-12 12:35 peloader的重定位，或者内存系统的重定位难道Windows使用的是静态重定位，直接将逻辑地址变成绝对地址？我个人认为Windows应该会只是使用动态重定位，仅仅将加载的主存地址放入线程的线程控制块中，在运行的时候将逻辑地址计算成绝对地址。
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册