PE文件中, RVA和文件偏移的转换

最新推荐文章于 2022-08-07 16:38:42 发布
最新推荐文章于 2022-08-07 16:38:42 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: WIN32程序设计 文章标签: image header dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guyuehun1/article/details/4939650
版权

最近在学习PE文件, RVA和文件偏移搞的非常郁闷, 非常之纠结不过还好总算整明白了, 现整理下理下思路…. 就从罗云彬的教材中的例子说起吧

.const

szNotFound   db     无法查找’, 0

      .code

;>>>>>>>>>>>>>>>>>

;RVA转换为文件偏移

;>>>>>>>>>>>>>>>>>

_RVAToOffset   proc _lpFileHead, _dwRVA

               Local @dwReturn

 

               Pushad

               Mov  esi, _lpFileHead

               Assume esi : ptr IMAGE_DOS_HEADER ; esi指向DOS MZ文件头

               Add  esi, [esi].e_lfanew ;esi指向IMAGE_NT_HEADERS结构

;***************************************

;得到PE文件头的位置, 这个位置加上文件头长度就是节表的位置

;***************************************

               Assume  esi: ptr IMAGE_NT_HEADERS

               Mov  edi, _dwRVA ; edi中存在数据在内存中的RVA

               Mov  edx, esi

               Add  edx, sizeof IMAGE_NT_HEADERS

 ;ebx指向IMAGE_SECTION_HEADER结构

              Assume  edx: ptr IMAGE_SECTION_HEADER

               Mozx  ecx, [esi].FileHeader.NumberOfSections ;ecx存放节的数量

;************************************************

;扫描每个节并判断RVA是否存在于这个节内

;********************************************************

               .repeat

                      Mov  eax, [edx].VirtualAddress

;每个节的数据的起始位置相对于节的起始位置是不变的, 不管节是在文件中还是在文件中

                      Add  [ebx].SizeOfRawData ; 节的大小

                      .if    (edi >= [ebx].VirtualAddress) && (edi < eax) ;数据在该节内

                            Mov  eax, [ebx].VirtualAddress

                            Sub   edi, eax ;数据相对于节的起始地址的偏移地址RVA’

                            Mov  eax, [ebx].PointerToRawData

                            Add   eax, edi ;数据在文件中的偏移地址

                            Jmp   @F

                      .endif

                      Add  edx, sizeof IMAGE_SECTION_HEADER

                 .untilcxz

                 Assume  edx:nothing

                 Assume  esi: nothing

                 Mov     eax, -1

@@:

                 Mov     @dwReturn, eax

                 Popad

                 Mov  eax, @dwReturn

                 Ret

 

_RVATOffset      endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

guyuehun1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
理解PE文件相对虚拟地址(RVA)到文件偏移转换
松哥(jccz_zys)的专栏
03-12 1万+
        关于PE文件格式的详细描述在网络上可以找到一大堆,最近有空,我也来研究一把。读了很多参考资料,应该说都讲得非常清晰,尤其是看雪学院的iamgufeng翻译的那篇文章,读来受益非浅。       根据我这个菜鸟的阅读感受与实践来说来看,我觉得根据RVA正确换算出到数据相对文件偏移这个细节这些文章都没有做过多的说明,而这是我唯一化比较多时间来思考的地方。下面我就说说我对此的理解,
PE文件的相对虚拟地址(RVA)和文件偏移地址(FOA)的转换
热门推荐
12-27 1万+
RVA(相对虚拟地址)和FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的转换,是因为同一个文件在硬盘和内存的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)和FileAlignment(文
PE知识复习之PERVA与FOA的转换
weixin_30730053的博客
09-30 387
            PE知识复习之PERVA与FOA的转换 一丶简介PE的两种状态   首先我们知道PE有两种状态.一种是内存展开.一种是在文件的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎么做.你知道虚拟地址.或者文件位置了.那么你怎么自己进行转换. 也就是说通过文件的节数据找到在内存这块数据的位置.或者反之. 寻找之前我们要先弄前几个概...
RVA文件偏移转换
weixin_33713350的博客
10-02 84
RVA文件偏移转换 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/10/02/3845785.html
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 770
PE文件有两种状态, 一种是在文件的状态,另外一种是在内存展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
7.PE文件RVA与FOA转换
kernelhack
10-27 4965
PE文件头和PE内存映像的文件头大小是一样的.节的数据在内存和磁盘文件的大小是不一样的,节表项记录了内存映像节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE除去文件头以外的内容,而文件头在磁盘文件和内存是没
PE文件:VA、RVA和FOA
weixin_43742894的博客
03-31 5560
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件的数据、模块等运行在内存的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
节表头解析以及RVA文件偏移地址的转换
ChuMeng1999的博客
10-18 887
目录预备知识一、相关实验二、节区简介三、Python的struct模块1.struct.pack(fmt, v1, v2, ...)2.struct.unpack(fmt, string)3.fmt支持的部分格式如下图所示实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》。 二、节区简介 PE文件DOS
Windows平台PE文件,内存地址到磁盘地址的转换(RVA to RAW),补丁原理
fw72fw72的博客
11-23 1612
内存地址转换为磁盘地址 计算公式为 RAW = RVA(相对虚拟地址) - VirtualAddress(内存节区起始地址) + PointerToRawData(磁盘文件节区起始位置) RVA = VA(虚拟地址) - ImageBase(基址) =>RAW = VA - ImageBase - VirtualAddress + PointerToRawData
秦万强PE文件学习笔记.pdf
06-06
节的偏移地址可以通过RVA(Relative Virtual Address)和文件偏移地址来进行转换。 6. PE文件加载过程:PE文件的加载过程涉及将文件映射到进程地址空间,并解析文件的各种结构体和数据表,最终准备代码和数据的...
PE转换数据
06-20
转换所提供的使用易语言编译的可执行文件或易语言支持库内容数据,使其内容完全被改变,但不影响其正常使用。返回转换后的结果字节集。如果转换失败,将返回空字节集,同时如果参数提供了转换结果获取变量,其将返回具体的错误代码值。本命令主要用作应付一些使用落后的特征码查毒技术的杀毒软件,使其不再或很难对易语言编译出来的程序和易语言本身支持库误报,建议大家在发布自己的软件前使用本命令转换下编译后的可执行文件和所需要携带的支持库。
PEFOAToRVARVAToFOA
tzwj1983的博客
03-19 1238
FOAToRVA
我自己的PE文件RVA-VA-Offset心得
benny5609的专栏
06-18 2506
#   Name     Virt Size   RVA       Phys Size  Phys Off   Flags  --  -------- ---------  ---------  ---------  ---------  --------- 01  .text     0000CCC0   00001000   0000CE00   00000600   600
PE文件RVA和Offset的转换
Hop的专栏
02-08 2073
在个人操作PE文件,时常会用到RVA到Offset的转换。没有更好的算法了,这里是最笨的方法,不过也只能这样了。主要思想是:判断一个RVA值在那个节,然后用这个节的虚拟地址减去物理地址,得到偏移。然后用输入的RVA减去这个偏移就可以了,同理我们也可以使用相同的方法到物理偏移。函数实现:RVA2OffsetPIMAGE_SECTION_HEADER ImageRVA2Section(PI
PE文件结构(二) 区块,文件偏移RVA转换
billvsme的专栏
10-02 3778
PE文件结构(二) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 区块 在区块表 后面的就是一个一个区块,每个区块占用对齐值的整数倍,一般的文件都有代码块 跟 数据块( 它们的名字一般为.text 跟 .data 但这是可以修改的)。每个区块的数据具有相同的属性。编译器先在obj生成不同的区块, 链接器再按照一定的规则合并不同obj跟库的快。例如每个obj肯定有.text 块, 连接器就会把它们合并成一个单一的.text 块;再如,如果两个区块具有相同的的属性就有可能被合
PE文件RVA-VA-Offset
ooyyee的专栏
01-12 2090
VA    |   Memory    |           Offset  | Disk Files  |          |             |                   |             | 00400000 +-------------+          | DOS Header  |                   | DOS Header
RVA和RAW(文件偏移)的转换
跃然实验室
06-11 3306
节表和节——RVA文件偏移转换 RVA文件偏移转换转换算法 (1)循环扫描节表并得到每个节在内存的起始RVA(根据VirtualAddress字段),并根据节的大小(SizeOfRawData字段)算出节的结束RVA,最后比较判断目标RVA是否落在某个节之内。 (2)如果目标RVA处于某个节之内,那么用目标RVA减去节的起始RVA,这样就得到了目标RVA相对于节起始...
[PE文件结构学习]1.相对虚拟地址(RVA)与物理地址的转换
sryan的专栏
09-06 7218
正在学习PE文件结构,本人小菜鸟一个,如有不正确,欢迎指正。   PE结构即可执行文件的硬盘存储结构,Windows系统下面有exe dll等格式,PE结构先不介绍了,网上资料很多,看雪的文库里面的资料很好。   首先以我个人的理解来解释一下各种概念。   1.VA VA即virtual address。解释为虚拟地址,它是经过PE载入器重定位后的在该进程地址空间能访问到的地址,在调
Windows NT下的PE文件格式深度解析
PE文件格式是Windows NT操作系统家族用于可执行文件、动态链接库(DLL)和驱动程序的主要格式。它基于早期的COFF(Common Object File Format)规范,并且为了保持与MS-DOS和早期Windows的兼容性,PE格式包含了MS-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值