【PE学习----VA、RVA、File Offset】

最新推荐文章于 2021-04-06 17:13:22 发布
最新推荐文章于 2021-04-06 17:13:22 发布
阅读量2.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jyw1111/article/details/8736801
版权
本文基于《Windows PE权威指南》探讨PE文件格式,重点关注虚拟地址(VA)、相对虚拟地址(RVA)和文件偏移量(File Offset)的概念及其在程序加载到内存中的作用。
摘要由CSDN通过智能技术生成

参考了《Windows_PE权威指南》这本书

VA   (Virual Address)  虚拟地址   程序被载入od中 如该图显示的就是虚拟地址VA;

RVA(Relative Virual Address)相对虚拟地址,表示此段代码在内存中相对于基地址的偏移。
File Offset 文件偏移地址 :当PE文件存储在磁盘上时,某个数据的位置相对于文件头的偏移量,称为文件地址。即C32里面能看到的地址
imagebase 基址  :文件执行时将被映像到指定内存地址中,这个初始内存地址称为基址;指的是IMAGE_OPTIONAL_HEADER中ImageBase这个值;
他们之间的计算公式 
                VA = imagebase + RVA;
               File Offset = VA - ImageBase – VRk 或者 File Offset= RVA – VRk
              VRk为RVA同File Offset的一个差值
             VRk=RVA-File Offset    (IMAGE_SECTION_HEADER .virtualAddress  -  IMAGE_SECTION_HEADER .PointerToRawData)



附上 转换代码:

//RVA 转 文件偏移地址
DWORD RvaToOffset(PIMAGE_NT_HEADERS pNt, DWORD dwRva)
{
    DWORD nC
最低0.47元/天 解锁文章
尘埃_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FileOffsetRVA的关系
bobopeng
06-15 1433
1.文件偏移地址 (File Offest) 数据在PE文件中的地址叫文件偏移地址,个人认为叫做文件地址更加准确.这是文件在磁盘上存放时相 对文件开头的偏移. 2.装载地址 (Image Base) PE装入内存时的基地址.默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件是0x10000000. 这些位置可以通过修改编译选项更改. 3.虚拟内存地址 
PE文件VARVA和FOA
weixin_43742894的博客
03-31 5561
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
PE结构中的VARVA、FOA
Hello_MyDream的博客
09-14 1043
VA:虚拟内存地址 就是在4G虚拟内存空间中(0x00000000 ~ 0xFFFFFFFF)定位的地址。 RVA:相对虚拟内存地址 从所在模块(dll)基地址开始的地址,即:模块基地址 + RVA = VA FOA:文件偏移地址 它是指某个位置距离文件头的偏移。与内存无关。 ...
我自己的PE文件RVA-VA-Offset心得
benny5609的专栏
06-18 2506
#   Name     Virt Size   RVA       Phys Size  Phys Off   Flags  --  -------- ---------  ---------  ---------  ---------  --------- 01  .text     0000CCC0   00001000   0000CE00   00000600   600
PE文件RVA-VA-Offset
ooyyee的专栏
01-12 2090
VA    |   Memory    |           Offset  | Disk Files  |          |             |                   |             | 00400000 +-------------+          | DOS Header  |                   | DOS Header
PE总结17--PE中的名词解释RVA,VA,File Offset
oBuYiSeng的博客
12-28 3079
RVA: (RelativeVirtual Address 简称RVA),RVA只是内存中的一个简单的相对于PE文件装入地址的偏移位置,或称为偏移量。 公式: 目标地址( 401000h) ---装入地址(Imagebase)400000h=RVA 1000h     VA:在PE用语里,实际的内存地址被称作虚拟地址(Virtual Address )简称VA。即OD里面能
RVA-FOA转换工具
09-29
在IT领域,RVA(Relative Virtual Address)和FOA(File Offset Address)是两种与程序内存管理和文件存储相关的地址概念,通常在逆向工程、软件调试以及系统编程中被广泛讨论。RVA-FOA转换工具是这类软件开发和分析...
Windows Pe 第三章 PE文件-EX-相关编程-2(RVA_FOA转换)
天使也掉毛
10-07 2713
Windows Pe 第三章 PE文件-EX-相关编程-2(RVA_FOA转换)
【转】RVAVAOffset
weixin_30698297的博客
12-26 226
对于变量A来说:File_Offset就是磁盘文件中A的位置。File_Offset=VA-ImageBase-VRk=RVA-VRkImageBase就是文件加载到内存的起始位置。ImageBase=VA-RVA多为:0x00400000,0x01000000Entr...
RvaToOffset 函数实现
B_H_L的专栏
04-03 1776
DWORD RvaToOffset(PBYTE pMapping, DWORD dwRva) { IMAGE_DOS_HEADER *pidh = (IMAGE_DOS_HEADER *)pMapping; IMAGE_NT_HEADERS *pinh = (IMAGE_NT_HEADERS *)(pMapping + pidh->e_lfanew);
内存偏移(RVA)与文件偏移(offset)相互转换
SauceJ的专栏
09-19 3939
写此文源于前一阵写一个PE修改工具,需要用到内存偏移向文件偏移转化。
PE文件:(2)VARVAFileOffset的理解
weixin_43972499的博客
04-06 1601
PE文件基本概念文件对齐和内存对齐RVAFileOffsetVA及重定向的概念 基本概念   在PE文件学习中,我们经常看到RVAVA文件偏移,内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
RVAOffset的换算函数
weixin_34195546的博客
09-06 179
function RVAToFileOffset(FileName:string; RVA: Cardinal): Cardinal; var   MemPE: TFileStream;   PEDosHead: TImageDosHeader;   PENtHead: TImageNtHeaders;   Section : TImageSectionHeader;   i, Sec...
RVA VA ImageBase RAW offset关系
ccchu的专栏
08-17 1524
RVA VA ImageBase RAW offset关系 RVA:relative virtrual address VA:virtrual address ImageBase:基地址 RAW offset:物理地址,也就是磁盘文件上的文件偏移地址(File offset)   PE文件在内存中时: 虚拟地址(VA)=基地址(ImageBase)
PE文件RVAOffset的转换
Hop的专栏
02-08 2073
在个人操作PE文件中,时常会用到RVAOffset的转换。没有更好的算法了,这里是最笨的方法,不过也只能这样了。主要思想是:判断一个RVA值在那个节中,然后用这个节的虚拟地址减去物理地址,得到偏移。然后用输入的RVA减去这个偏移就可以了,同理我们也可以使用相同的方法到物理偏移。函数实现:RVA2OffsetPIMAGE_SECTION_HEADER ImageRVA2Section(PI
PE文件的内存映射
做一个快乐学习者
10-13 1894
如果想要理解PE文件与虚拟内存之间的映射关系,首先要理解一些概念: 1.文件偏移地址(file offset) PE文件数据在硬盘中存放的地址就叫做文件偏移地址。用winhex程序查看文件时的offset就是文件偏移地址了。文件偏移地址就是指文件在磁盘上存放时相对于文件开头的偏移。 2.装载基址(image base) 装载基址就是指pe文件装入内存时的基地址,一般情况下,EXE文件的装载基址...
PE偏移
weixin_43229322的博客
09-13 238
±--------±--------±--------±--------±--------±--------+ | 段名称 虚拟地址 虚拟大小 物理地址 物理大小 标志 | ±--------±--------±--------±--------±--------±--------+ | Name VOffset VSize ROffset RSiz...
【逆向】PE结构分析和关于PE的一些问题及解决
lanlanla的成长历程
01-08 1338
目录 前言: 开始需要大概了解一些名词: 程序的装入(地址的变换) 分页机制: 大概带着这些知识后,再来看PE的结构: 一些结构的定义 关于地址计算的一些问题 经典例题: 例题分析 ☆如何在PE中查找并计算这些地址? 计算:解决地址转换问题(使用PEView) ①计算每个节区在内存中的位置、大小: ②每个节区在文件中的偏移 ③每个节区在内存中的大小?每个节区在文件中的...
Windows反调试技术深度解析:经典与高级策略
11. **Uncategorized anti-debug**:这部分包括了其他未归类的技术,如TLS回调(Thread Local Storage)和CC scanning(代码完整性扫描),以及将Entry Point RVA设置为0来避免调试器定位。 最后,文章总结了结论,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值