我认识的PE文件之相对虚拟地址 + 文件偏移地址

最新推荐文章于 2022-10-30 22:40:07 发布
最新推荐文章于 2022-10-30 22:40:07 发布
阅读量3k 收藏 2
点赞数 1
分类专栏: windows驱动开发 文章标签: 文件偏移地址 相对虚拟地址 PE文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HK_5788/article/details/46842795
版权

-------------------------------相对虚拟地址 --------------------------------------------------

在可执行文件中,有很多地方需要指明内存中的地址,例如:引用全局变量时,需要制定它的地址。PE文件的尽管有一个首选的载入地址,但是,它们可以再入到进程的空间的任何地方,所以不能依赖于PE的载入点,由于这个原因,必须有一个方法来指定地址而不依赖PE载入点的地址。

为了在PE文件中 避免所有的内存地址,出现了相对虚拟地址。其概念是:内存中的一个简单的相对于PE文件载入地址时的偏移位置。它是一个“相对”地址,或者称为:偏移量。例如,假设一个EXE文件从地址400000h处载入,并且它的代码区块位于401000h,代码区块的相对虚拟地址为:

目标地址401000h -  载入地址 40000000h = 相对虚拟地址 1000h

将一个虚拟地址转换成真实的地址,只是简单的翻转这个过车个:将实践的装入的地址加上相对虚拟地址  即可得到实际的内存地址,顺便说下,在PE里面,实际的内存地址被称作为虚拟地址,另外,也可以把虚拟地址想象为加上首选装入地址的相对虚拟地址。不要忘了,前面提到的装入地址等同于模块句柄。她们呢之间的关系如下:

虚拟地址 = 基地址 + 相对虚拟地址。

------------------------文件偏移地址 --------------------------------------------------

当PE文件存储在磁盘上时,某个数据的位置相对于头文件的偏移量,称为文件的偏移地址或者物理地址。文件偏移地址从PE文件的第一个直接开始计数,起始值为0。用16进制工具打开文件显示的地址就是文件偏移地址。


~~~~~~~~~~~~~~~~~~~~续~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

PandaMohist
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件相对虚拟地址(RVA)和文件偏移地址(FOA)的转换
12-27 1万+
RVA(相对虚拟地址)和FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的转换,是因为同一个文件在硬盘和内存中的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)和FileAlignment(文
相对虚拟地址虚拟地址文件偏移地址
shitdbg的博客
11-06 4455
相对虚拟地址(RVA,Relative Virtual Address),RVA只是内存中的一个简单相对PE文件装入地址偏移位置,它是一个“相对地址”,或称“偏移量”。例如,假设一个PE文件地址400000h处装入,并且它的代码节开始于401000h,代码节的RVA将是:目标地址401000h - 装入地址400000h = RVA 1000h。 PE文件中出现RVA的概念是因为PE
文件 偏移 基址_PE文件涉及的地址概念
weixin_36352719的博客
01-12 792
本文参考了 @旋风火鸡 的文章,链接如下:旋风火鸡:PE可执行文件格式详解​zhuanlan.zhihu.com虚拟地址(Virtual Address, VA),PE文件被加载开始运行后,进程的可执行代码、数据所在的地址空间称为虚拟地址空间,代码和数据在该空间内的地址称为虚拟地址相对虚拟地址(Reverse Virtual Address, RVA),相对虚拟地址虚拟地址相对于映射基址的偏移...
虚拟内存及PE文件虚拟内存之间的映射
dyuanXu的博客
09-17 1017
虚拟内存及PE文件虚拟内存之间的映射
1.1二进制文件概述
qq_55202378的博客
07-15 1091
二进制 PE文件
X86下段地址_偏移地址_虚拟地址_线性地址_物理地址.pptx
02-24
X86下段地址_偏移地址_虚拟地址_线性地址_物理地址.pptx
PE文件区段.rar
04-06
2. **节表**:在PE文件头中,有一个节表,列出了所有节的信息,包括节名称、虚拟地址、大小等。常见的节名有`.text`(代码区)、`.data`(初始化数据)、`.rdata`(只读数据)、`.bss`(未初始化数据)等。 3. **取...
C语言怎么获得进程的PE文件信息
09-02
在C语言中获取进程的PE(Portable Executable)文件信息是一项关键任务,特别是在系统编程、逆向工程和安全分析等领域。PE文件格式是Windows操作系统中用于存放可执行程序、动态链接库(DLL)等二进制文件的标准格式。...
商业编程-源码-PE文件分析器.zip
06-21
PE文件在不同地址加载时,重定位表允许程序修正内部指针以适应新的内存位置。还有可能涉及到调试信息的解析,这对于调试和理解代码流程非常有用。 在安全角度,PE文件分析可以用于检测恶意软件。例如,分析器可能...
易语言PE文件资源查看
08-22
1. **显示Offset**:在PE文件中,每个资源都有一个相对文件起始位置的偏移地址,即Offset。显示Offset可以帮助开发者了解资源在文件中的位置。 2. **显示十六进制**:为了理解二进制数据,通常会将其转换为十六...
PE查找文件偏移地址
weixin_30371469的博客
06-03 313
节(section) 相对虚拟偏移量RVA() 文件偏移量 .text 0x1000 0x0400 文件偏移地址 = 虚拟内存地址(VA) - 装载地址(ImageBase) - 节偏移(RVA-节偏移) 查找内存中0x404141 处的指令 ImageBase=0x400000 , 在文件中的偏移量: 文件偏移量 = 0...
PE格式: 新建节并插入代码
CSDN
07-26 7177
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。 经过了前一章的学习相信你已经能够独立完成FOA与VA之间的互转了,接下来我们将实现在程序中插入新节区,并向新节区内插入一段能够反向连接的ShellCode代...
PE文件解析(2):RVA与FOA转换和区段表
ylh的博客
10-30 1063
PE文件相对虚拟地址PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
理解PE文件相对虚拟地址(RVA)到文件偏移的转换
热门推荐
松哥(jccz_zys)的专栏
03-12 1万+
        关于PE文件格式的详细描述在网络上可以找到一大堆,最近有空,我也来研究一把。读了很多参考资料,应该说都讲得非常清晰,尤其是看雪学院的iamgufeng翻译的那篇文章,读来受益非浅。       根据我这个菜鸟的阅读感受与实践来说来看,我觉得根据RVA正确换算出到数据相对文件偏移这个细节这些文章都没有做过多的说明,而这是我唯一化比较多时间来思考的地方。下面我就说说我对此的理解,
PE文件偏移地址分析
weixin_44723038的博客
11-11 1487
实验环境:Windows 10,LordPEPEView PE文件结构:PEview打开PE文件,可观察到PE文件的结构,由MZ文件头、DOS插桩程序、节表头、节(.text,.rdata,.data,.idata,.reloc)组成。 PE文件被执行后,PE装载器首先检查MZ头及DOS头是否有签名,从而判定该PE文件是否有效,再读入PE头的总体信息,接着读取节表中的节信息,映射至内存,再根...
关于PE格式中的文件地址虚拟地址相对虚拟地址的理解
残酷な天使
04-21 2615
<br /><br />首先贴上定义<br />1.文件偏移地址 (File Offest)<br />数据在PE文件中的地址文件偏移地址,个人认为叫做文件地址更加准确.这是文件在磁盘上存放时相<br />对文件开头的偏移.<br /><br />2.装载地址 (Image Base)<br />PE装入内存时的基地址.默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件是0x10000000.<br /><br />这些位置可以通过修改编译选项更改.<br /><br />3.虚拟
关于文件偏移地址虚拟内存地址的计算
最新发布
05-24
文件偏移地址虚拟内存地址都是计算机中用于寻址的地址。它们之间的关系取决于操作系统中所使用的文件系统和内存管理机制。 在文件系统中,文件偏移地址是指文件中数据的起始位置与文件开头之间的距离。文件偏移地址可以用于读取和写入文件中的数据。假设文件偏移地址为x,则文件中的数据可以通过以下方式访问: ``` file.seek(x) # 将文件指针移动到偏移地址x处 data = file.read(n) # 读取n个字节的数据 ``` 在操作系统中,虚拟内存地址是指进程中使用的内存地址虚拟内存地址是通过内存管理单元(MMU)转换为物理内存地址虚拟内存地址可以用于访问进程中的数据。假设虚拟内存地址为y,则进程中的数据可以通过以下方式访问: ``` data = process_memory[y:y+n] # 从虚拟内存地址y处读取n个字节的数据 ``` 在计算文件偏移地址虚拟内存地址时,需要了解文件系统和内存管理机制中的相关参数,例如页大小、文件系统块大小等。具体的计算方法因不同的系统而异,一般需要使用相应的系统调用和函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值