Windows平台PE文件,内存地址到磁盘地址的转换(RVA to RAW),补丁原理

最新推荐文章于 2022-10-27 14:17:27 发布
最新推荐文章于 2022-10-27 14:17:27 发布
阅读量1.6k 收藏 1
点赞数
文章标签: windows 破解 补丁 pe文件 地址转换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fw72fw72/article/details/78617494
版权

本文需要了解基本的PE文件概念

我们在分析软件的时候,经常会使用工具,对某个EXE进行修改,以实现破解。本文介绍这种方法的基本原理。

修改EXE实现破解,需要知道待修改的磁盘地址,而实际过程中,我们一般是通过调试,得到关键区域的内存地址,因此需要将内存地址转换为磁盘地址,方法如下:

Windows平台PE文件,节区头(Section Header)是非常重要的数据结构。头文件定义如下:

#define IMAGE_SIZEOF_SHORT_NAME              8


typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

地址转换过程中,需要使用到的是VirtualAddress(内存中节区起始地址)以及PointerToRawData(磁盘文件中节区起始位置&

最低0.47元/天 解锁文章
Eric_Fan0
关注
手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 175
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
[PE文件结构学习]1.相对虚拟地址(RVA)与物理地址转换
sryan的专栏
09-06 7224
正在学习PE文件结构,本人小菜鸟一个,如有不正确,欢迎指正。   PE结构即可执行文件的硬盘存储结构,Windows系统下面有exe dll等格式,PE结构先不介绍了,网上资料很多,看雪的文库里面的资料很好。   首先以我个人的理解来解释一下各种概念。   1.VA VA即virtual address。解释为虚拟地址,它是经过PE载入器重定位后的在该进程地址空间中能访问到的地址,在调
PE文件的物理地址内存地址互相转换!
09-15
PE文件的物理地址内存地址互相转换!
PE文件地址内存地址
软件调试的变革
12-14 3089
1.      VC中可以通过#pragmadata_seg()可以将代码中的任意部分编译到PE的任意节中,节名也可以自己定义。如果文件经过了加壳处理,那么PE的节的信息就会变的非常“古怪”。 2.      PE文件地址与VA(virtualAddress)之间的转换文件偏移地址(file offset)文件相对于文件开头的偏移 装载基址(image base)PE装入内存时的基地址
自定义向PE启动映像WIM中添加驱动方法
热门推荐
Robins.lee_的博客
03-20 1万+
请注意DISM版本问题  低版本DISM不能处理高版本的boot问题(如win7的不能处理win10的) 约定: 需要须改的影像文件为E:\wim\boot.wim 临时文件目录 E:\temp  一个确认存在的目录,事先建立 需要添加的驱动位置:E:\lan   事先下载好 步骤: 1、查看:   查看映像信息:  dism /get-wiminf
内存偏移(RVA)与文件偏移(offset)相互转换
SauceJ的专栏
09-19 3962
写此文源于前一阵写一个PE修改工具,需要用到内存偏移向文件偏移转化。
RAWRVA
qq_36963214的博客
10-24 1881
前言 本文描述节区RAWRVA之间的的转换 RAW文件偏移 RVA:相对虚拟地址(是指相对与ImageBase的偏移) 节区数据结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; DWORD SizeOfR
cvi 解析PE文件获取导出函数表和虚拟地址
09-01
PE文件中,每个节都有自己的虚拟地址,当文件被加载到内存时,函数的虚拟地址就是其在进程地址空间中的位置。通过解析PE头,我们可以得到每个节的基地址,然后结合导出函数表的相对虚拟地址RVA,Relative ...
PE文件的相对虚拟地址RVA)和文件偏移地址(FOA)的转换
12-27 1万+
RVA(相对虚拟地址)和FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的转换,是因为同一个文件在硬盘和内存中的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)和FileAlignment(文
节表头解析以及RVA文件偏移地址转换
ChuMeng1999的博客
10-18 889
目录预备知识一、相关实验二、节区简介三、Python的struct模块1.struct.pack(fmt, v1, v2, ...)2.struct.unpack(fmt, string)3.fmt支持的部分格式如下图所示实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》。 二、节区简介 PE文件在DOS
节表(40字节)
最新发布
qq_51600802的博客
10-27 486
节表:相当于这本书的目录{");puts("申请失败");if(!n){printf(" 读取数据失败!");}}{{printf("不是有效的MZ标志\n");return;}printf("********************DOC头********************\n");printf("MZ标志:%x\n",pDosHeader->e_magic);
PE文件结构
南宫封清的博客
04-19 3940
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
《逆向工程核心原理》学习笔记(二):PE文件
闵行小鱼塘
12-24 1646
继续学习《逆向工程核心原理》,本篇笔记是第二部分:PE文件格式,包括PE文件、运行时压缩、重定位、UPack、内嵌补丁等内容
windows PE Image 文件分析(2)--- .text 节
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-11 4135
在上一篇文章:http://www.mouseos.com/windows/PE_image1.html 介绍 helloworld.exe 映像的 section 表内容,section 表指出每个映像中每个 section 的信息,包括:section 的 RVA,Size,Raw 数据位置和大小等。接下来深入了解 .text 节内容 域 .textbss 节
Windows编程学习记录(八)—— PE结构
weixin_38987844的博客
07-01 288
目录1 PE文件整体结构2 DOS部分2.1 IMAGE_DOS_HEADER2.2 DOS stub(DOS存根)3 IMAGE_NT_HEADERS3.1 IMAGE_FILE_HEADER 1 PE文件整体结构 2 DOS部分 基于PE文件对DOS文件兼容性的考虑,PE文件结构前添加了DOS部分。 2.1 IMAGE_DOS_HEADER IMAGE_DOS_HEADER STRUCT { WORD e_magic //Magic DOS signature MZ(4Dh 5Ah) DO
内存Dump出PE
不会写代码的丝丽
03-12 1094
https://docs.microsoft.com/en-us/windows/win32/debug/pe-format https://blog.csdn.net/weixin_43655282/article/details/104291312 https://zhuanlan.zhihu.com/p/31967907 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QwpoOrBd-1646929463326)(https://upload.wikimedia.org
滴水逆向三期实践3:FileBuffer-ImageBuffer
Rivival_S 的博客
09-22 1628
书接上回 这张图上回已经有过了,这里加上更详细的说明 设该文件文件对齐FileAlignment为200,内存对齐SectionAlignment为1000,则有如下节: 节1:PointerToRawData 400 VirtualAddress 1000 节2:PointerToRawData 600 VirtualAddress 2000 节3:Poi...
ELF&PE 文件结构分析
Always On The Way
11-01 2369
ELF&PE 文件结构分析 说简单点,ELF 对应于UNIX 下的文件,而PE 则是Windows 的可执行文件,分析ELF 和 PE文件结构,是逆向工程,或者是做调试,甚至是开发所应具备的基本能力。在进行逆向工程的开端,我们拿到ELF 文件,或者是PE 文件,首先要做的就是分析文件头,了解信息,进而逆向文件。不说废话,开始分析: ELF和PE 文件都是基于Unix 的 COFF(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值