PE文件中RVA和Offset的转换

最新推荐文章于 2021-08-14 11:01:15 发布
最新推荐文章于 2021-08-14 11:01:15 发布
阅读量2k 收藏
点赞数 1
分类专栏: VC&&C++ 文章标签: header dos null image 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonnk/article/details/1505833
版权

在个人操作PE文件中,时常会用到RVA到Offset的转换。
没有更好的算法了,这里是最笨的方法,不过也只能这样了。

主要思想是:判断一个RVA值在那个节中,然后用这个节的虚拟地址减去物理地址,得到偏移。然后用输入
的RVA减去这个偏移就可以了,同理我们也可以使用相同的方法到物理偏移。

函数实现:RVA2Offset
PIMAGE_SECTION_HEADER ImageRVA2Section(PIMAGE_NT_HEADERS pimage_nt_headers,DWORD dwRVA)
{
 int i;
 PIMAGE_SECTION_HEADER pimage_section_header=(PIMAGE_SECTION_HEADER)((PCHAR(pimage_nt_headers)) + sizeof(IMAGE_NT_HEADERS));
 for(i=0;i<pimage_nt_headers->FileHeader.NumberOfSections;i++)
 {
  if((pimage_section_header->VirtualAddress) && (dwRVA<=(pimage_section_header->VirtualAddress+pimage_section_header->SizeOfRawData)))
  {
   return ((PIMAGE_SECTION_HEADER)pimage_section_header);
  }
  pimage_section_header++;
 }
 return(NULL);
}

DWORD RVA2Offset(PCHAR pImageBase,DWORD dwRVA)
{
 DWORD _offset;
 PIMAGE_SECTION_HEADER section;
 PIMAGE_DOS_HEADER pimage_dos_header;
 PIMAGE_NT_HEADERS pimage_nt_headers;
 pimage_dos_header = PIMAGE_DOS_HEADER(pImageBase);
 pimage_nt_headers = (PIMAGE_NT_HEADERS)(pImageBase+pimage_dos_header->e_lfanew);
 section=ImageRVA2Section(pimage_nt_headers,dwRVA);
 if(section==NULL)
 {
  return(0);
 }
 _offset=dwRVA+section->PointerToRawData-section->VirtualAddress;
 return(_offset);
}

 

jasonnk
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE总结17--PE的名词解释RVA,VA,File Offset
oBuYiSeng的博客
12-28 3047
RVA: (RelativeVirtual Address 简称RVA),RVA只是内存的一个简单的相对于PE文件装入地址的偏移位置,或称为偏移量。 公式: 目标地址( 401000h) ---装入地址(Imagebase)400000h=RVA 1000h     VA:在PE用语里,实际的内存地址被称作虚拟地址(Virtual Address )简称VA。即OD里面能
RvaToFileOffset 内存偏移转成文件偏移(滴水课后作业)
hambaga的博客
05-10 645
题目说明 将内存偏移RVA转成文件偏移FOA的函数; 思路是遍历节表,比较节内存偏移VirtualAddress和RVA,确定RVA所在的节之后,计算RVA距离所在节首地址的偏移offset,然后返回offset+PointerToRawData. 以xp的notepad.exe为例 .text节的文件偏移是400h,内存偏移是1000h,调用函数结果如下: printf("%x\n", RvaToFileOffset(pFileBuffer, 0x1000)); 函数源码 // 内存偏移RVA转成文
PE文件:(2)VA、RVA和FileOffset的理解
weixin_43972499的博客
04-06 1461
PE文件基本概念文件对齐和内存对齐RVA和FileOffsetVA及重定向的概念 基本概念   在PE文件的学习,我们经常看到RVA,VA,文件偏移,内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
RvaToOffset 函数实现
B_H_L的专栏
04-03 1737
DWORD RvaToOffset(PBYTE pMapping, DWORD dwRva) { IMAGE_DOS_HEADER *pidh = (IMAGE_DOS_HEADER *)pMapping; IMAGE_NT_HEADERS *pinh = (IMAGE_NT_HEADERS *)(pMapping + pidh->e_lfanew);
内存偏移(RVA)与文件偏移(offset)相互转换
SauceJ的专栏
09-19 3856
写此文源于前一阵写一个PE修改工具,需要用到内存偏移向文件偏移转化。
PE32-RVA-FileOffset-master.rar
05-01
标题的"PE32-RVA-FileOffset-master"暗示了这个压缩包可能包含与PE(Portable Executable)文件格式相关的代码或工具,特别是关于RVA(Relative Virtual Address)和File Offset的概念。在Windows操作系统PE...
cvi 解析PE文件获取导出函数表和虚拟地址
09-01
在IT领域,特别是软件开发和逆向工程,理解并操作PE(Portable Executable)文件格式是至关重要的技能。PE文件格式是Windows操作系统的可执行文件和动态链接库(DLL)的标准格式。本文将深入探讨如何使用...
RVA-FOA转换工具
09-29
在IT领域,RVA(Relative Virtual Address)和FOA(File Offset Address)是两种与程序内存管理和文件存储相关的地址概念,通常在逆向工程、软件调试以及系统编程被广泛讨论。RVA-FOA转换工具是这类软件开发和分析...
Bind2File.rar_pe 捆绑_捆绑_文件捆绑器
最新发布
09-23
然而,也有可能被恶意软件利用,将病毒或木马隐藏在捆绑的文件,因此,对PE捆绑的理解和安全评估至关重要。 Bind2File源码提供了一种实现PE捆绑的方法。源码的主要流程可能包括以下几个步骤: 1. **PE文件分析...
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
通过阅读源码,开发者可以学习如何读取和解析PE文件的不同部分,以及如何在C++操作内存和文件流。这对于逆向工程、软件安全分析和程序开发都有很大帮助。 总之,这份PDF和源码集合提供了一个深入学习PE文件格式的...
简单逆向23(dnSpy,.net,动态调试)
m0_49936845的博客
08-14 4440
根据习惯放入IDA: 发现不是c语言之类写的,放入exeinfope看一下 是.net,通过百度发现可以使用dnSpy等反编译软件 使用dnSpy打开: Module处ctrl + f搜索main: 找到主函数 // Token: 0x06000030 RID: 48 RVA: 0x00002618 File Offset: 0x00001A18 internal unsafe static int main() { string b = "3ACF8D62AAA0B630C4AF43AF3
LordPE--计算RVAOffset的值
跃然实验室
06-08 645
计算RVAOffset的值
我自己的PE文件RVA-VA-Offset心得
benny5609的专栏
06-18 2494
#   Name     Virt Size   RVA       Phys Size  Phys Off   Flags  --  -------- ---------  ---------  ---------  ---------  --------- 01  .text     0000CCC0   00001000   0000CE00   00000600   600
PE文件的相对虚拟地址(RVA)和文件偏移地址(FOA)的转换
热门推荐
12-27 1万+
RVA(相对虚拟地址)和FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的转换,是因为同一个文件在硬盘和内存的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)和FileAlignment(文
FileOffsetRVA的关系
bobopeng
06-15 1409
1.文件偏移地址 (File Offest) 数据在PE文件的地址叫文件偏移地址,个人认为叫做文件地址更加准确.这是文件在磁盘上存放时相 对文件开头的偏移. 2.装载地址 (Image Base) PE装入内存时的基地址.默认情况下,EXE文件在内存的基地址是0x00400000,DLL文件是0x10000000. 这些位置可以通过修改编译选项更改. 3.虚拟内存地址 
PE文件RVA-VA-Offset
ooyyee的专栏
01-12 2077
VA    |   Memory    |           Offset  | Disk Files  |          |             |                   |             | 00400000 +-------------+          | DOS Header  |                   | DOS Header
PE文件结构(二) 区块,文件偏移与RVA转换
billvsme的专栏
10-02 3759
PE文件结构(二) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 区块 在区块表 后面的就是一个一个区块,每个区块占用对齐值的整数倍,一般的文件都有代码块 跟 数据块( 它们的名字一般为.text 跟 .data 但这是可以修改的)。每个区块的数据具有相同的属性。编译器先在obj生成不同的区块, 链接器再按照一定的规则合并不同obj跟库的快。例如每个obj肯定有.text 块, 连接器就会把它们合并成一个单一的.text 块;再如,如果两个区块具有相同的的属性就有可能被合
PE学习----VA、RVA、File Offset
jyw1111的专栏
03-29 2190
参考了《Windows_PE权威指南》这本书 VA   (Virual Address)  虚拟地址   程序被载入od 如该图显示的就是虚拟地址VA; RVA(Relative Virual Address)相对虚拟地址,表示此段代码在内存相对于基地址的偏移。 File Offset 文件偏移地址 :当PE文件存储在磁盘上时,某个数据的位置相对于文件头的偏移量,称为文件地址。即C
JIURL PE 格式学习总结(四)-- PE文件的资源.docx
12-07
这篇文档主要探讨了PE(Portable Executable)文件格式的资源部分,包括如何定位和解析PE文件的资源,如位图(BMP)、光标、菜单和对话框等。以下是详细的知识点总结: 1. **PE文件结构**:PE文件是一种在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值