RVA和RAW(文件偏移)的转换

最新推荐文章于 2023-01-29 14:49:32 发布
最新推荐文章于 2023-01-29 14:49:32 发布
阅读量3.2k 收藏 4
点赞数 2
分类专栏: 安全 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91405973
版权
安全 同时被 2 个专栏收录
60 篇文章 2 订阅
订阅专栏
PE
26 篇文章 0 订阅
订阅专栏

 

节表和节——RVA和文件偏移的转换 

RVA和文件偏移的转换的转换算法

 (1)循环扫描节表并得到每个节在内存中的起始RVA(根据VirtualAddress字段),并根据节的大小(SizeOfRawData字段)算出节的结束RVA,最后比较判断目标RVA是否落在某个节之内。

(2)如果目标RVA处于某个节之内,那么用目标RVA减去节的起始RVA,这样就得到了目标RVA相对于节起始地址的偏移量RVA'。

(3)在节表中获取节在文件中所处的偏移(PointerToRawData字段),将这个偏移值加上上一步得到的RVA'值,这才是数据在文件中的真正偏移位置。

 

RAW CInfector ::RVA2RAW( RVA rva)
{
                 int i;
                 for (i = 0; i < m_pPEHeader->FileHeader.NumberOfSections ; i++)
                {
                                 if (rva < m_pSectionStart[i].VirtualAddress + m_pSectionStart[i].Misc.VirtualSize &&
                                                 rva >= m_pSectionStart[i].VirtualAddress)
                                {
                                                 break ;
                                }
                }
                 return (m_pSectionStart[i].PointerToRawData + rva - m_pSectionStart[i].VirtualAddress);

}

PointerToRawData(节在文件中所处的偏移)是节在文件中的起始位置

 

 rva - m_pSectionStart[i].VirtualAddress   总的地址---起始地址     是一段长度

 

 

 

 

跃然实验室
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
节表头解析以及RVA文件偏移地址的转换
ChuMeng1999的博客
10-18 875
目录预备知识一、相关实验二、节区简介三、Python的struct模块1.struct.pack(fmt, v1, v2, ...)2.struct.unpack(fmt, string)3.fmt支持的部分格式如下图所示实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》。 二、节区简介 PE文件在DOS
RVA-FOA转换工具
09-29
在IT领域,RVA(Relative Virtual Address)和FOA(File Offset Address)是两种与程序内存管理和文件存储相关的地址概念,通常在逆向工程、软件调试以及系统编程被广泛讨论。RVA-FOA转换工具是这类软件开发和分析...
RVA、VA、RAW偏移量
期待下集是个可爱梦儿
03-02 4574
VA,虚拟地址,也就是程序被加载到内存的地址RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字节流,OFFSET就是这个字节流的位置。换算关系为:将VA减去MODULE的BASE就是RVA的值。RVA与OFFSET的关系,是通过每个SECTION内领衔量相等为换算的。举例来说,假设一个EXE文件,BASE为0x00400000,第一个S
RVA-RAW转换
qq_46112324的博客
01-29 342
RVA-RAW转换
RVA 转 RAW
sxr__nc的博客
12-20 256
直接上源码: #include<stdio.h> #include<Windows.h> int main() { LPCSTR lpFileName="D:\\PyCharm Community Edition 2019.2.4\\bin\\IdeaWin32.dll"; HANDLE hFile; hFile=CreateFileA(lpFileName,GENE...
[PE结构分析] 7.相对虚拟地址(RVA)和文件偏移间的转换
weixin_34129145的博客
08-15 506
RVA是相对虚拟地址(Relative Virtual Address)的缩写。RVA是当PE 文件被装载到内存后,某个数据位置相对于文件头的偏移量。 例如:导入表的位置和大小可以从PE文件IMAGE_OPTIONAL_HEADER32结构的数据目录字段获取,对应的项目是DataDirectory字段的第2个IMAGE_DATA_DIRECTORY结构。从IMAGE_DATA_DIRECT...
内存偏移(RVA)与文件偏移(offset)相互转换
SauceJ的专栏
09-19 3863
写此文源于前一阵写一个PE修改工具,需要用到内存偏移文件偏移转化。
cvi 解析PE文件获取导函数表和虚拟地址
09-01
4. 使用节表信息,将RVA转换为虚拟地址。 5. 可以选择将结果输到控制台或者保存到文件,以便进一步分析或使用。 在提供的压缩包文件"ReadFunctionNameFromdllfile",可能包含了实现这个功能的源代码或可执行...
Bind2File.rar_pe 捆绑_捆绑_文件捆绑器
09-23
1. **PE文件分析**:首先,需要解析输入的每一个PE文件,获取其头部信息(如MZ标志、PE标志、COFF头、NT头等)和节区信息(节区名称、大小、偏移等)。 2. **空间预留**:在主PE文件,为每个待捆绑的PE文件预留...
RVA:RNAseq可视化自动化
05-22
RNAseq可视化自动化RNAseq可视化自动化安装RVA install.packages( " RVA " ) 装入包装以供使用library( RVA )加载示例数据让我们加载一个摘要统计表,并将它们组合到一个名为d1的列表。 df <- RVA :: Sample_...
RVA-FAMIS:搜索 FAMIS 承保范围和共付额
06-28
目前,用户只能通过缺乏一致性且主要用法律术语编写的长格式 PDF 文件了解哪些服务被涵盖(和未被涵盖!)。 这对于只是检查是否涵盖特定服务以及共付额是什么的父母来说可能会感到困惑。 它是如何建造的? 这个...
RVA转FOA(RAW)[两种方法]
个人笔记
05-21 480
RVA转FOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找对应IMAGE_SECTION_HEADER内容 求该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求偏移量offset=RVA0-RV
RAWRVA
qq_36963214的博客
10-24 1777
前言 本文描述节区RAWRVA之间的的转换 RAW文件偏移 RVA:相对虚拟地址(是指相对与ImageBase的偏移) 节区数据结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; DWORD SizeOfR
RVA to RAW?汇编程序输PE文件导入/导
m0_52196359的博客
11-16 2041
汇编程序输PE导入表,导
逆向工程核心原理---RVARAW
xuqi7
09-25 599
逆向工程核心原理---RVARAW
VA&RVARVA to RAW
bangren3304的博客
10-23 1266
VA&RVA VA指的是进程虚拟内存的绝对地址,RVA(Relative Virtual Address,相对虚拟地址)指从某个基准位置(ImageBase)开始的相对地址。VA与RVA满足下面的换算关系。 RVA + ImageBase = VA PE(Portable Executable)头部信息大多以RVA形式存在。原因在于,PE文件(主要是DLL(DLL,Dynami...
0004-PE文件RVAraw——addr的转换.md
ma_de_hao_mei_le的博客
05-26 333
友链 关键就是这个section header 在你解析到section header之前,你是无法正确的将RVA转换成disk file的raw addr的 因为你这是还不知道raw addr和虚拟地址的映射关系 一旦读取了这个section header,之后,你就获取到了在内存对齐之后的rvaraw addr的映射关系了 当然,这里的raw addr也是经过了file alignment的,有些扇区的尾部会被填充padding(null) 现在我们来看在optional header的15个da
PE文件解析(2):RVA与FOA转换和区段表
ylh的博客
10-30 1071
PE文件的相对虚拟地址是PE文件数据、模块等运行在内存的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件的对齐方式是不一样的。FOA:文件对齐值是0x200。
RVARAW有什么区别
最新发布
04-18
RVA (Relative Virtual Address) 是指相对虚拟地址,是相对于模块加载基址的偏移量RAW (Relative Absolute Address) 是指相对绝对地址...简单来说,RVA 是相对于可执行文件的加载地址,而 RAW 是相对于物理内存地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值