理解文件偏移&相对内存偏移&节偏移

最新推荐文章于 2023-06-22 19:20:54 发布
最新推荐文章于 2023-06-22 19:20:54 发布
阅读量3.6k 收藏 15
点赞数 3
分类专栏: c 文章标签: PE文件 windows 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqmiku/article/details/114073174
版权

996.icu LICENSE

  • 问题背景
  • 解决方法
  • 总结

阅读之前注意:

本文阅读建议用时:5min
本文阅读结构如下表:

项目下属项目测试用例数量
问题背景0
解决方法0
总结0

问题背景

拜读《0day安全:软件漏洞分析技术》(第2版)时,看到了文件偏移的计算方法:

相对内存偏移(RVA) = 内存地址 - 加载基址
节偏移 = Voffset(该节在内存中的偏移量) - Roffset(该节在文件中的偏移量)
文件偏移 = 相对内存偏移(RVA) - 节偏移

看到这里,尽管作者有解释文件偏移和相对内存偏移不同的原因:即文件在磁盘中的存放结构,和文件载入内存中的存放结构不同,但这里并不直观。相信很多人会和我一样不太能懂为什么会有上面的计算方法。

解决方法

一番搜索,在看雪上找到了答案。
在这里插入图片描述
如上图,以.text节为例,左边400h - 0h = 400h是Roffset(.text节在文件中的偏移量),右边401000h - 400000h = 1000h是Voffset(.text节在内存中的偏移量)。
现在,对于上图应用程序,给定一个内存地址401125h,求对应的文件偏移地址。
根据上图知,该内存地址在.text节,则根据文件偏移的计算方法有:
相对内存偏移(RVA) = 401125h - 400000h = 1125h
.text节偏移 = 1000h - 400h = c00h
文件偏移 = 1125h - c00h = 525h

更直观一点,就好比2个人比赛跑步,跑了一样的距离125h,但起跑线不同(一个从左边400h开始跑,另一个从右边1000h开始跑)。节偏移就是起跑线的差距
另外,这里没用看雪答案中的401325h:因为401325h - 401000h = 325h,而.text这一节总大小只有200h,所以401325h没有对应的文件偏移,该内存地址是在内存中的以0填充的区块间隙。

此外,根据真*小学二年级数学知识,也有如下计算方法:
文件偏移 = RVA - 节偏移 = 1125h - (1000h - 400h) = 400h + (1125h - 1000h) = 525h
即 文件偏移 = Roffset + (RVA - Voffset)

总结

之所以有文件偏移和相对内存偏移的不同,是因为文件的节在磁盘中的存放结构,和载入内存中的存放结构不同。这就产生了节偏移。

在这里插入图片描述

参考资料

  1. 请问如何将偏移量转换为地址?
  2. 理解PE文件相对虚拟地址(RVA)到文件偏移的转换

文章目录

msInfoSec
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pppp_lisp偏移_批量偏移cad_
10-04
在cad中,批量偏移对象,有需要的可以下载,lisp源码 命令pppp
PE文件:(2)VA、RVA和FileOffset的理解
weixin_43972499的博客
04-06 1376
PE文件基本概念文件对齐和内存对齐RVA和FileOffsetVA及重定向的概念 基本概念   在PE文件的学习中,我们经常看到RVA,VA,文件偏移内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
实现虚拟内存地址到文件偏移地址的转换
as you know, nlp is fantasitc!
03-23 619
写在前面:这是一次实践作业,用c来写似乎好写一点,但我比较熟悉python,也找到了python相关的库,就用python来实现下,用一晚上把前天写的代码变成了图形化界面,自学过程中,学到了许多东西,也把很多学过的都实践了一遍 目标: 实现过程: 原理 上课老师讲了原理,其实很好懂,主要是PE文件的结构我不太熟悉,一直反复看,贴下原理吧 实现思路 1、找python有没有操作 pe 相关的库,有一篇参考文章 ,pefile库可以来完成这次的作业 2、找到相关的变量 ImageBase(基址) Virt
内存对齐计算方法(偏移量)
小洁洁
02-11 1696
1.1第一个成员的地址在结构体变量偏移量为0的地址处。1.2其中对齐数=编译器默认的一个对齐数与该成员大小的较小值。(vs默认为8)1.3其他成员变量依次要按照对齐数的整数倍的地址处来存放。1.4结构体总体的大小要为最大对齐数的整倍数。(每一个成员变量都有自己的对齐数,与1.3描述的对象不一样)1.5如果一个结构体里面包含一个结构体,把其看作一个成员就行(但其整体对齐数不能看作一个对齐数来比是否为最大对齐数)。
内存偏移(RVA)与文件偏移(offset)相互转换
SauceJ的专栏
09-19 3806
写此文源于前一阵写一个PE修改工具,需要用到内存偏移文件偏移转化。
计算机操作系统(十八):内存(二)
BKSW.的博客
01-26 4752
计算机操作系统(十七):内存(二) 来源王道考研系列视频: https://www.bilibili.com/video/BV1YE411D7nH 内存空间的分配与回收(二) 非连续分配 为用户分配一些分散的内存空间 基本分页存储管理 将内存分为一个个相等的小分区,再按照分区大小把进程拆分为一个个小部分。每个分区就是一个页框,或者称为页帧,有一个编号,从0开始。 如何实现地址的转换? 算出逻辑地址对应的页号 页号 = 逻辑地址/页面长度(取整数的部分) 知道页号对应的页面在内存中的起始位置 用某种
文件偏移
weixin_45030544的博客
03-30 3637
当前文件偏移量 1.什么是"当前文件偏移量" 每当打开一个文件都有一个"当前文件偏移量"(current file offset). 它通常是非负整数,用以度量从文件开始处计算的字数.通常,读,写操作都是从当前文件偏移量开始,并使偏移量增加所读写的字数.按照系统默认情况,当打开一个文件时,除非指定O_APPEND选项,否则该偏移量被设置为0. 2.lssek函数 我们可以调用lseek函数显示地打开文件设置偏移量. #include <unistd.h> off_t lseek(int
PE文件格式的RVA概念
04-14 1297
我们常说的RVA,很容易让我们理解成这是相对的RVA,其实不然。要理解RVA的概念,首先还必须理解Section Header结构(由Section Header构成表)。typedef struct _IMAGE_SECTION_HEADER {    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];    union {            DWORD   
【计算机组成原理】2、二进制原码反码补码、左移右移、进制转换,进制相减、内存地址偏移计算与容量计算
最新发布
呆呆的猫的博客
06-22 2635
二进制和十六进制转换,进制相减、内存地址偏移计算与容量计算
内存偏移转换到文件偏移
qq_41610493的博客
01-18 397
/************************************ 函数:RVAToFOA 说明:从内存偏移转换到文件偏移 ***********************************/ BOOL PE::RVAToFOA(DWORD RVA,DWORD &FOA,BOOL IsEnableLog) { / 计算公式: 1. 先计算出此RVA 属于那个 2. 该文件的差值k 3. RVA - 差 = FOA */ if
逆时偏移代码,逆时偏移原理,matlab
09-10
包含叠前逆时偏移程序和几篇逆时偏移论文;地震子波的正演与反演
c语言通过结构体类型换算结构体成员相对偏移
01-08
在某些情况下我们想知道结构体内某个成员相对于结构体起始地址偏移了多少位。通常做法可以逐个算出个成员的大小来计算 下面我们换一种思路 通过结构体地址来换算成员的偏移量 例有如下结构体 typedef struct { ...
双极性偏移
11-15
转换后得到0~4095的数字量,数字量0对应的模拟量为-5V,数字量4095对应的模拟量为+5V,这种编码方法称为双极性偏移码,其数字量值与模拟电压值的对应关系可描述为: 模拟电压值=数码(12位)×10(V)/4096- 5(V...
详解C语言的结构体中成员变量偏移问题
12-31
c语言中关于结构体的位置偏移原则简单,但经常忘记,做点笔记以是个记忆的好办法 原则有三个: a.结构体中的所有成员其首地址偏移量必须为器数据类型长度的整数被,其中第一个成员的首地址偏移量为0, 例如,若第二...
Arm64汇编:UBFX指令
热门推荐
msInfoSec的博客
02-17 1万+
Arm64汇编——UBFX指令的意思是从Wn寄存器的第lsb位开始,提取width位到Wd寄存器,剩余高位用0填充。在逆向过程中遇到这种指令,在armDeveloper网站搜索指令了解意思后,即可复现。
IDA中的_OWORD
msInfoSec的博客
04-15 6195
IDA中的_OWORD 一个有意思的巧合 _OWORD的含义 总结 阅读之前注意: 本文阅读建议用时:5min 本文阅读结构如下表: 项目 下属项目 测试用例数量 一个有意思的巧合 无 0 _OWORD的含义 无 1 总结 无 0 一个有意思的巧合 正如我们所知道的那样,在英文中的月份缩写中,OCT代表着十月(October),而DEC代表着十二月(Decembe...
SM4算法密钥key定位
msInfoSec的博客
03-02 4908
定位SM4算法密钥,只需要了解算法特点,进行定位即可:根据CK定位算法代码区域,根据代码操作特征定位key。
IDA Pro7.0(Mac版)安装findcrypt
msInfoSec的博客
05-05 4283
findcrypt需要yara-python的支持,IDA的模块搜索路径不包含直接pip install yarn-python的路径,因此需要我们手动设置搜索路径或者复制yara-python到IDA的模块搜索路径。
关于文件偏移地址和虚拟内存地址的计算
05-24
文件偏移地址和虚拟内存地址都是计算机中用于寻址的地址。它们之间的关系取决于操作系统中所使用的文件系统和内存管理机制。 在文件系统中,文件偏移地址是指文件中数据的起始位置与文件开头之间的距离。文件偏移地址可以用于读取和写入文件中的数据。假设文件偏移地址为x,则文件中的数据可以通过以下方式访问: ``` file.seek(x) # 将文件指针移动到偏移地址x处 data = file.read(n) # 读取n个字的数据 ``` 在操作系统中,虚拟内存地址是指进程中使用的内存地址。虚拟内存地址是通过内存管理单元(MMU)转换为物理内存地址。虚拟内存地址可以用于访问进程中的数据。假设虚拟内存地址为y,则进程中的数据可以通过以下方式访问: ``` data = process_memory[y:y+n] # 从虚拟内存地址y处读取n个字的数据 ``` 在计算文件偏移地址和虚拟内存地址时,需要了解文件系统和内存管理机制中的相关参数,例如页大小、文件系统块大小等。具体的计算方法因不同的系统而异,一般需要使用相应的系统调用和函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值