文件偏移地址(File OffSet):静态反汇编工具看到的PE文件中某条指令的位置是相对于磁盘文件的。所谓的文件偏移地址是指文件在磁盘上存放时相对于文件开头的偏移。
装载基址(Image Base):PE文件装入内存时的基地址。默认情况下,EXE文件的基址为0x00400000,DLL文件的基址为0x10000000。
虚拟内存地址(Virtual Address,VA):PE文件中的指令被装入内存后的地址,OllyDbg动态反汇编产生。
相对虚拟地址(Relative Virtual Adress,RVA):内存地址相对与映射基址的偏移量。
VA = Image Base + RVA。
FileOffSet = VR + ( VA - ImageBase - VS )
VS:所在区段的起始虚拟地址;
VR:起始文件偏移
PE文件中的数据按照磁盘数据标准存放,以0x200字节为基本单位进行组织。 代码装入内存后,将按照内存数据标准存放,以0x1000字节为基本单位进行组织。