4

[리버싱] VA(절대주소)와 x64dbg의 EntryPoint 주소가 다릅니다.

peview로 imagebase는 140000000 확인하고,
offset은 HxD에서 c1b220 이라서
계산하여 RVA값 c1be20을 찾았습니다.

그러나 140c1be20 주소를 x64dbg로 찾으려고 하니
EntryPoint가 7ff668274588에서 시작이네요. 모듈 ntdll.dll 을
원하는 프로그램으로 바꿔도 7ff668245656 번지인데
왜 이런 현상이 생기는거죠?

제가 원하는것은 140c1be20 인데요. ida로 하면 text.140c1be20로 찾을 수는 있지만
x64dbg나 windbg는 안되더라구요…

답변 1개
3

해결했습니다. ASLR 때문에 PE 재배치가 일어나서 그랬던것 같네요…