我自己的PE文件RVA-VA-Offset心得

最新推荐文章于 2022-08-07 16:38:42 发布
最新推荐文章于 2022-08-07 16:38:42 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: Windows 文章标签: file 磁盘 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/benny5609/article/details/2561442
版权
#   Name     Virt Size   RVA       Phys Size  Phys Off   Flags   --  -------- ---------  ---------  ---------  ---------  ---------  01  .text     0000CCC0   00001000   0000CE00   00000600   60000020 []  02  .data     00004628    0000E000   00002C00    0000D400   C0000040 []  03  .rsrc     000003C8   00013000   00000400   00010000   40000040 []  对于变量A来说: File_Offset   就是磁盘文件中A的位置。               File_Offset = VA - ImageBase - VRk = RVA - VRk ImageBase     就是文件加载到内存的起始位置。               ImageBase = VA - RVA               多为:0x00400000,0x01000000 EntryPoint    就是.text的VA地址。 VA    就是内存映像中A的位置,即A的地址。       VA = ImageBase + FileOffset + VRk = ImageBase + RVA RVA   就是内存映像中A的位置与文件映射基址的差。       RVA = VA - ImageBase = File_Offset + VRk    PS: VA  就好比是“某一时刻”,例如: 九点到校上课。       RVA 就好比是“某一时间段”,例如:七点起床后, 过两个小时到校上课。       VA  是绝对的,一旦确定便不可更改。 九点到校迟一秒钟也不行。       RVA 是系相对的,虽然说 过两个小时到校上课,但是如果我七点起床,便是九点上课。          而如果我八点起床,便是十点上课了。 VRk  就是文件映射到内存后,每一节之间填充的00的个数。          由于要进行对齐,所以文件加载到内存后每一节之间要填充大量00          因此文件中A的位置会变化。由于各个文件头与各个节大小不变,所以:          VRk = RVA - File_Offset = <填充的00的个数> 最终,我们计算: 由FileOffset到RVA/VA:       ImageBase    = 00400000      A FileOffset = 00000450      RVA = FileOffset(A) + ( RVA(.data) - FileOffset(.data) )          = FileOffset(A) +  VRk          = 0000D450 + ( 0000E000 - 0000D400 )          = 0000D450 + C00          = 0000E050      VA  = RVA + ImageBase = 0000E050 + 00400000 = 0040E050 由RVA/VA到FileOffset:      RVA = 0000E050   /   VA = 0040E050   /   ImageBase = 00400000      FileOffset = RVA(A) - RVk                 = RVA(A) - ( RVA(.data) - FileOffset(.data) )                 = 0000E050 - ( 0000E000 - 0000D400 )                 = 0000E050 - C00                 = 0000D450
benny5609
关注
专栏目录
PE学习----VARVAFile Offset
jyw1111的专栏
03-29 2277
参考了《Windows_PE权威指南》这本书 VA   (Virual Address)  虚拟地址   程序被载入od中 如该图显示的就是虚拟地址VARVA(Relative Virual Address)相对虚拟地址,表示此段代码在内存中相对于基地址的偏移。 File Offset 文件偏移地址 :当PE文件存储在磁盘上时,某个数据的位置相对于文件头的偏移量,称为文件地址。即C
PE总结17--PE中的名词解释RVA,VA,File Offset
oBuYiSeng的博客
12-28 3127
RVA: (RelativeVirtual Address 简称RVA),RVA只是内存中的一个简单的相对于PE文件装入地址的偏移位置,或称为偏移量。 公式: 目标地址( 401000h) ---装入地址(Imagebase)400000h=RVA 1000h     VA:在PE用语里,实际的内存地址被称作虚拟地址(Virtual Address )简称VA。即OD里面能
PE知识复习之PERVA与FOA的转换
weixin_30730053的博客
09-30 402
            PE知识复习之PERVA与FOA的转换 一丶简介PE的两种状态   首先我们知道PE有两种状态.一种是内存展开.一种是在文件中的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎么做.你知道虚拟地址.或者文件位置了.那么你怎么自己进行转换. 也就是说通过文件中的节数据找到在内存中这块数据的位置.或者反之. 寻找之前我们要先弄前几个概...
【转】RVAVAOffset
weixin_30698297的博客
12-26 251
对于变量A来说:File_Offset就是磁盘文件中A的位置。File_Offset=VA-ImageBase-VRk=RVA-VRkImageBase就是文件加载到内存的起始位置。ImageBase=VA-RVA多为:0x00400000,0x01000000Entr...
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 813
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
7.PE文件RVA与FOA转换
kernelhack
10-27 5145
PE文件头和PE内存映像的文件头大小是一样的.节的数据在内存和磁盘文件的大小是不一样的,节表项记录了内存映像中节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件中的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存中是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE中除去文件头以外的内容,而文件头在磁盘文件中和内存中是没
PE32-RVA-FileOffset-master.rar
05-01
标题中的"PE32-RVA-FileOffset-master"暗示了这个压缩包可能包含与PE(Portable Executable)文件格式相关的代码或工具,特别是关于RVA(Relative Virtual Address)和File Offset的概念。在Windows操作系统中,PE...
RVA-FOA转换工具
09-29
在提供的"RVA-FOA"压缩包文件中,可能包含了该转换工具的执行文件或源代码,用户可以下载并使用它来进行实际的操作。对于软件开发者、逆向工程师以及安全专家来说,理解和使用这类工具是提升工作效率的关键。通过...
PE文件VARVA和FOA
weixin_43742894的博客
03-31 5866
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
RVAVA、RAW、偏移量
late0001的专栏
06-09 2737
VA,虚拟地址,也就是程序被加载到内存中的地址 RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。 RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字节流,OFFSET就是这个字节流中的位置。 //文件偏移又称物理偏移,就是保存在磁盘里的文件。 换算关系为:
PE文件分析工具
11-24
能够分析PE文件的sectionheader imageheader,dosheader datadirection 并有importtable exporttable
PE文件中, RVA文件偏移的转换
guyuehun1的专栏
12-04 1829
最近在学习PE文件, 被RVA文件偏移搞的非常郁闷, 非常之纠结… 不过还好… 总算整明白了, 现整理下… 理下思路…. 就从罗云彬的教材中的例子说起吧….constszNotFound   db     ‘无法查找’, 0      .code;>>>>>>>>>>>>>>>>>;将RVA转换为文件偏移;>>>>>>>>>>>>>>>>>_RVAToOffset  
理解PE文件相对虚拟地址(RVA)到文件偏移的转换
热门推荐
松哥(jccz_zys)的专栏
03-12 1万+
        关于PE文件格式的详细描述在网络上可以找到一大堆,最近有空,我也来研究一把。读了很多参考资料,应该说都讲得非常清晰,尤其是看雪学院的iamgufeng翻译的那篇文章,读来受益非浅。       根据我这个菜鸟的阅读感受与实践来说来看,我觉得根据RVA正确换算出到数据相对文件的偏移这个细节这些文章都没有做过多的说明,而这是我唯一化比较多时间来思考的地方。下面我就说说我对此的理解,
PE文件RVAOffset的转换
Hop的专栏
02-08 2106
在个人操作PE文件中,时常会用到RVAOffset的转换。没有更好的算法了,这里是最笨的方法,不过也只能这样了。主要思想是:判断一个RVA值在那个节中,然后用这个节的虚拟地址减去物理地址,得到偏移。然后用输入的RVA减去这个偏移就可以了,同理我们也可以使用相同的方法到物理偏移。函数实现:RVA2OffsetPIMAGE_SECTION_HEADER ImageRVA2Section(PI
PE偏移
weixin_43229322的博客
09-13 253
±--------±--------±--------±--------±--------±--------+ | 段名称 虚拟地址 虚拟大小 物理地址 物理大小 标志 | ±--------±--------±--------±--------±--------±--------+ | Name VOffset VSize ROffset RSiz...
节表头解析以及RVA文件偏移地址的转换
ChuMeng1999的博客
10-18 941
目录预备知识一、相关实验二、节区简介三、Python的struct模块1.struct.pack(fmt, v1, v2, ...)2.struct.unpack(fmt, string)3.fmt支持的部分格式如下图所示实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》。 二、节区简介 PE文件在DOS
RVA VA ImageBase RAW offset关系
ccchu的专栏
08-17 1563
RVA VA ImageBase RAW offset关系 RVA:relative virtrual address VA:virtrual address ImageBase:基地址 RAW offset:物理地址,也就是磁盘文件上的文件偏移地址(File offset)   PE文件在内存中时: 虚拟地址(VA)=基地址(ImageBase)
VA
oathevil的专栏
08-03 824
<br /> <br />对于Raw的理解,   习惯上人们喜欢叫它为 "对齐 "了的什么什么,   但是这样反而增加了理解上的难度,   其实它的意思就是文件中的地址或长度.比如: <br />SizeOfRawData           :0x200     ->   表示本节在文件中占了0x200字节 <br />PointerToRawData     :0x400     ->   表示本节在文件中的偏移量是0x400 <br /><br />对于VARVA,   表示一个PE文件被加载到内存
PE文件格式中数据目录项中的导入表和VA-RVA-FA转换
qq_35426012的博客
11-15 1650
VA va(虚拟地址):虚拟地址是内存中的地址,每一个内存空间都有一个地址表示,这就是虚拟地址如打开OD,加载程序,里面的每一个地址都是虚拟地址,VA如下图,PE文件加载进内存的VA都是由imageBase(基址)+RVA(相对虚拟地址)形成的绝对虚拟地址VA RVA RVA(相对虚拟地址):相对虚拟地址相对的是选项头里面的字段ImageBase(程序基址),PE结构中大部分字段的存的就是RVA...
RVA-FAMIS原型:快速搜索FAMIS覆盖范围与共付额
资源摘要信息:"RVA-FAMIS 是一个由 Richmond VA 团队在 2015 年 Code for America 的 Alpha (构建周)期间创建的原型。该原型旨在为父母提供一个方便的搜索工具,以便他们可以快速查看其子女可享受哪些服务,并了解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值