PE

Седни написал прогу, разбирающую таблицу экспорта в PE файле для последующего патчинга ее.
Вопрос - я нашел имя функции в таблице имен, нашел ординал и адрес функции (проверено-перепроверено, нашел правильно). Полученный адрес отличаеться от физического на 0A00h, знач я получил не VA, VA секции где находиться функция отличаеться от физического адреса на 3600h.

Вопрос: откуда взялось это смещение и что еще нуна смотреть?

Сообщение отредактировал V2g6cH4: 11 октября 2009 - 15:24

А есть предельные функции или они фиксированные?

Функции - процедуры которые ничего не возвращают )))

Все, тему мона закрыть, тупанул при определении секции )
P.S. в вопросе не VA а RVA, image_base не учитываеться.