RVA를 RAW로 변환시켜보자.
[그림] offset 값과 address 값
[그림] IMPORT Table RVA 값
IMAGE_OPTIONAL_HEADER를 보면, IMPORT Table에 대한 RVA 값을 확인할 수 있다.
[그림] idata 영역
idata의 RVA 값과 Pointer to Raw Data 값은 아래 구조체에서도 위치를 확인할 수 있다.
[그림] PEheader section 값
RAW = RVA - VA + Pointer to Raw Data
RAW = 1F4B88 - 1F000 + 1AE00
RAW = 1B2B8
[그림] IMPORT Directory Table
파일 offset이 1B2B8임을 확인할 수 있었다.
'Forensics > 정리자료' 카테고리의 다른 글
| 포렌식 기초 정리 (0) | 2017.06.12 |
|---|---|
| DKOM_2017_04_17 (0) | 2017.04.17 |
| EPROCESS_2017_04_17 (0) | 2017.04.17 |
| 핸들과 DLL_2017_04_17 (0) | 2017.04.17 |
| Live Response 명령어 (0) | 2017.04.17 |
