琐碎的发现,ImageRvaToVa函数分析!

最新推荐文章于 2021-02-22 11:22:15 发布
最新推荐文章于 2021-02-22 11:22:15 发布
阅读量1.9k 收藏 1
点赞数 1
分类专栏: 汇编 windows 文章标签: 反汇编 windows PE

琐碎的发现,ImageRvaToVa函数分析!

原文地址:http://www.pediy.com/kssd/pediy09/pediy09-313.htm

最近,写了东西的时候用到了一个函数感觉很不错!MS就是好嘛!ImageRvaToVa就是把物理地址转换为虚拟地址的函数!可是最近到网络上找了好长时间也没发现有多少人用它!也许是我RP问题,我想不会吧!
   

写代码的时候,忽然要用到虚拟地址转换物理地址的函数,我顺手在VC里输入了ImageVaToRva,惯例嘛!怎么来的怎么回去!编译了好多遍就是没这个函数,不会吧!我觉得MS应该不会忘记写了的!怎么回的来,回不去了呢?找遍了"IMAGEHLP.H"这个文件也没找到,晕倒!开始发现MS真不是玩意,才想起来很多代码中有RvaToOffset或OffsetToRva自写的函数,真没想到MS真的没做,找了找发现非要拿区段信息才行,我看到很多朋友都说函数有问题,我也看了是乎有点问题,不相信!MS它也就拿区段干活!
拿OD看了一下!傻了!MS还真的是拿区段干活!在ImageRvaToVa中有ImageRvaToSection函数!
为了让我的ImageVaToRva重出江湖,就分析了一下:

//-------------------------------------------------------------------------------------------

76C67554 >  8BFF            mov     edi, edi
76C67556    55              push    ebp
76C67557    8BEC            mov     ebp, esp
76C67559    56              push    esi                        ;保存ESI
76C6755A    8B75 14         mov     esi, dword ptr [ebp+14]    ;将区段结构指针放入ESI
76C6755D    85F6            test    esi, esi                   ;如果ESI是否为0
76C6755F    57              push    edi                        ;保存EDI
76C67560    8B7D 10         mov     edi, dword ptr [ebp+10]    ;EDI=要转换值
76C67563    74 16           je      short 76C6757B             ;ESI为0,直接转换
76C67565    8B0E            mov     ecx, dword ptr [esi]       ;不为空,将结构地址放入ECX
76C67567    85C9            test    ecx, ecx                   ;ECX为空直接转换
76C67569    74 10           je      short 76C6757B
76C6756B    8B41 0C         mov     eax, dword ptr [ecx+C]   
76C6756E    3BF8            cmp     edi, eax
76C67570    72 09           jb      short 76C6757B
76C67572    8B51 10         mov     edx, dword ptr [ecx+10]
76C67575    03D0            add     edx, eax
76C67577    3BFA            cmp     edi, edx
76C67579    72 0E           jb      short 76C67589
76C6757B    57              push    edi                        ;要转换值
76C6757C    FF75 0C         push    dword ptr [ebp+C]          ;BASE基地址
76C6757F    FF75 08         push    dword ptr [ebp+8]          ;NT结构指针
76C67582    E8 8AFFFFFF     call    ImageRvaToSection
76C67587    8BC8            mov     ecx, eax
76C67589    85C9            test    ecx, ecx                      ;如果为0就跳出去
76C6758B    74 13           je      short 76C675A0
76C6758D    85F6            test    esi, esi
76C6758F    74 02           je      short 76C67593
76C67591    890E            mov     dword ptr [esi], ecx        ;保存区段地址
76C67593    8B41 14         mov     eax, dword ptr [ecx+14]     ;EAX=物理地址
76C67596    2B41 0C         sub     eax, dword ptr [ecx+C]      ;EAX=物理地址-虚拟地址
76C67599    0345 0C         add     eax, dword ptr [ebp+C]      ;EAX=EAX+基地址BASE
76C6759C    03C7            add     eax, edi                    ;EAX=EAX+要转换的值
76C6759E    EB 02           jmp     short 76C675A2
76C675A0    33C0            xor     eax, eax
76C675A2    5F              pop     edi
76C675A3    5E              pop     esi
76C675A4    5D              pop     ebp
76C675A5    C2 1000         retn    10


ImageRvaToSection如下:
//------------------------------------------------------------------------------------
76C67511 >  8BFF            mov     edi, edi
76C67513    55              push    ebp
76C67514    8BEC            mov     ebp, esp
76C67516    8B4D 08         mov     ecx, dword ptr [ebp+8]      ;NT结构地址
76C67519    0FB741 14       movzx   eax, word ptr [ecx+14]      ;EAX=SizeOfOptionalHeader
76C6751D    8D4408 18       lea     eax, dword ptr [eax+ecx+18] ;EAX=区段开始地址
76C67521    0FB749 06       movzx   ecx, word ptr [ecx+6]       ;获得区段总数为6
76C67525    56              push    esi
76C67526    33F6            xor     esi, esi
76C67528    85C9            test    ecx, ecx                     
76C6752A    57              push    edi
76C6752B    76 1A           jbe     short 76C67547               ;如果区段数小于等于0,那么就跳出去
76C6752D    8B50 0C         mov     edx, dword ptr [eax+C]       ;EDX=区段虚拟地址
76C67530    3955 10         cmp     dword ptr [ebp+10], edx      ;与RVA比较如果大于就跳
76C67533    72 0A           jb      short 76C6753F
76C67535    8B78 10         mov     edi, dword ptr [eax+10]      ;不大于,将物理区段大小放入EDI
76C67538    03FA            add     edi, edx                     ;EDI=物理区段大小+虚拟区段地址
76C6753A    397D 10         cmp     dword ptr [ebp+10], edi      ;EDI是否大于RVA值,如果大于就跳出去
76C6753D    72 0A           jb      short 76C67549
76C6753F    83C0 28         add     eax, 28                      ;不大于计算下一区段
76C67542    46              inc     esi
76C67543    3BF1            cmp     esi, ecx
76C67545  ^ 72 E6           jb      short 76C6752D
76C67547    33C0            xor     eax, eax
76C67549    5F              pop     edi
76C6754A    5E              pop     esi
76C6754B    5D              pop     ebp
76C6754C    C2 0C00         retn    0C

//---------------------------------------------------------------------------
大致分析了,如上,我自己效仿了个函数,把虚拟地址转换为物理地址的:

LPVOID CPNExeInfo::ImageVaToRva(PIMAGE_NT_HEADERS _nt,LPVOID Base,ULONG va)
{

  DWORD dwVa   =va;
  PIMAGE_SECTION_HEADER begin=(PIMAGE_SECTION_HEADER)((DWORD)_nt+_nt->FileHeader.SizeOfOptionalHeader+0x18);

  for(int i=0;i<_nt->FileHeader.NumberOfSections;i++,begin++)
  {
    DWORD   dwSectionVa  =begin->PointerToRawData+(DWORD)Base;
    DWORD   dwSectionSize=begin->SizeOfRawData;

    if(dwVa>=dwSectionVa&&dwVa<(dwSectionSize+dwSectionVa))
    {
      dwVa=dwVa-(DWORD)Base;
      dwVa=dwVa+begin->VirtualAddress;
      dwVa=dwVa-begin->PointerToRawData;
      return (LPVOID)dwVa;
    }else if(dwVa<dwSectionVa) 
    {
      //如果计算值大于前一区段的最大值,而后一区段地址大于计算值
      //则假设在前一区段:
      dwVa=dwVa-(DWORD)Base;
      begin--;
      dwVa=dwVa+begin->VirtualAddress;
      dwVa=dwVa-begin->PointerToRawData;
    }
  }
  return NULL;
}

有什么不对的地方大家给意见一下!来给大家解解闷!...........

duhaomin
关注
专栏目录
Kotlin 函数式编程(Kotlin Functional Programming)
AI天才研究院
09-14 1万+
Kotlin函数式编程 (KotlinFunctionalProgramming) 陈光剑 1.函数式概述6 1.1.函数式简史6 1.2.函数式编程语言家族7 1.2.1.概述7 1.2.2.函数式编程语言介绍8 1.3.函数式编程的特征10 1.3.1.函数是"第一等公民"(First-classandhigher-order...
ImageRvaToVa的错误
qq_38611124的博客
01-15 658
ImageRvaToVa函数在调用时,一直报错,是因为对应的动态链接库(dbghelp.lib)没有加进工程文件里,只要在对应的头文件里加上#pragma comment(lib,"Dbghelp.lib")就可以解决问题 微软对该函数的解释:https://msdn.microsoft.com/en-us/library/windows/desktop/ms680218(v=vs.85).as
读取PE文件的导入表
weixin_34220963的博客
09-08 442
    在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE的文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入表等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入表通常位于 .ida...
使用VC++6.0实现查看dll导出函数名的C++源代码
02-07
HMODULE hModule=::LoadLibrary("DbgHelp.dll"); if(hModule==NULL) return; PFNEXPORTFUNC ImageRvaToVax=NULL; ImageRvaToVax=(PFNEXPORTFUNC)::GetProcAddress(hModule,"ImageRvaToVa"); if(ImageRvaToVax==NULL) { UnmapViewOfFile(mod_base); CloseHandle(hFileMap); CloseHandle(hFile); ::FreeLibrary(hModule); MessageBox("取得函数失败\n"); return ; } ::FreeLibrary(hModule); UnmapViewOfFile(mod_base); CloseHandle(hFileMap); CloseHandle(hFile);
R语言网络分析2:graph函数和应用
R语言与生物信息学
02-22 5428
产生网络 自定义 BioC 中用得最多的网络类型可能是 graphNEL 类。使用 graphNEL 类的同名函数可以产生自定义网络: library(graph) str(graphNEL) #> function (nodes = character(), edgeL = list(), edgemode = "undirected") nds <- letters[1:3] gx1 <- graphNEL(nodes = nds, edgemode =
C++程序设计第5章函数教程ppt课件.ppt
最新发布
11-12
函数应专注于单一的任务,减少函数间的数据交互,同时保持适当的规模,避免过于复杂或过于琐碎。 C++程序由主函数(main)和其他用户自定义函数组成,所有函数都是独立定义的,不存在嵌套定义。函数通过调用来执行...
深入解析golang编程中函数的用法
01-20
每Go程序具有至少一个函数,它一般是main(),以及所有的最琐碎程序可以定义附加函数。 你可以将代码放到独立的功能。如何划分代码之间的不同功能,但逻辑上的划分通常是让每个函数执行特定的任务。 函数声明告诉...
nutslisp:琐碎的Lisp-2解释器(和我的第一个Lisp!)https
05-18
Nuts Lisp对于变量和函数具有不同的命名空间 坚果Lisp含有pakagaes 坚果Lisp的溪流充满皱纹 Nusp Lisp可以评估递归函数! (哇!) 我认为在实施Lisp的第一次试用方面做得很好。 安装 $ git clone ...
PE学习-------导入表】
jyw1111的专栏
03-29 755
输出 打印 PE文件的  导入表信息 // ImportTable.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #pragma comment(lib,"Dbghelp.lib") PIMAGE_NT_HEADERS g_pNt = NULL; //判断文件是否为PE文件 BOOL
注入(5)---导入表注入(HookINT)
weixin_33841722的博客
10-13 319
导入表是WindowsPE文件中的一组数据结构,可执行程序(即EXE文件)被加载到地址空间后,每个导入的DLL模块都有一个对应的导入表,PE加载器会根据导入表来加载进程需要的其他DLL模块。 导入表的数据结构如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; ...
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(2)
Kendiv's Box
01-14 2934
第一章  Windows 2000对调试技术的支持翻译:Kendiv(fcczj@263.net)更新:Friday, January 18, 2005声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 内核调试器的命令尽管调试器的命令已经注意了易记性,但有时总是难以回忆起它们。因此,我把它们都整理到了附录A中。表A-1是其快速参考。这个表是调试器的help
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
paschen的专栏
02-06 8637
用C++封装了可以轻松高效获取PE文件中各信息的类,该类有较高可读性,同时具有一定的通用性,适合学习,也适合轻松实现自己的PE文件信息查看软件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值