7.PE文件之RVA与FOA转换

已于 2023-10-08 20:33:39 修改
阅读量4.7k 收藏 12
点赞数 3
分类专栏: Pe文件解析 文章标签: PE文件 安全 安全漏洞 C语言 C++
于 2021-10-27 18:07:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46125480/article/details/120998385
版权

PE文件头和PE内存映像的文件头大小是一样的.节的数据在内存和磁盘文件的大小是不一样的,节表项记录了内存映像中节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件中的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存中是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE中除去文件头以外的内容,而文件头在磁盘文件中和内存中是没有变化的.

  • 相对虚拟地址(Relative Virtual Address, RVA) = 虚拟地址(VA) - 基地址(ImageBase).相对于基地址的偏移,即RVA是虚拟内存中用来定位某个特定位置的地址,该地址的值是这个特定位置距离某个模块基地址的偏移量.
  • 文件偏移地址(File Offset Address, FOA)和内存无关,它是指某个位置距离文件头的偏移.

文件中手动转换示例:

1).执行下述代码获取全局变量地址

DWORD g_Data = 0x12345678;

int main()
{
  printf("global data -> [0x%08x] \r\n", g_Data);
  system("Pause");
  return 0;
}

得到当前全局变量地址(VA)为0x00541008

2).通过WinHex解析文件.获取ImageBase与文件和内存对齐大小

ImageBase = 0x00400000

SectionAlignment = 0x00001000

FileAlignment = 0x00000200

Ps: 如果文件对齐与内存对齐相同为1000h,且节区在内存中大小小于文件中大小那么RVA与FOA一致.这里测试文件不同

RVA = VA - ImageBase = 0x00541008 - 0x00400000 = 0x141008

3).通过WinHex解析文件.获取节区对应文件与内存偏移

这里方便用工具展示结果(.textbss 代表未被初始化的静态内存区。此区段不占用磁盘空间,仅占用内存空间)

判断当前RVA(0x141008)位于哪个节中.公式为RVA ≥ VirtualAddress && RVA < VirtualAddress + VirtualSize

可以得出RVA(0x141008)位于节.data中.

算出RVA在节区对应OFFSET RVA - VirtualAddress = 0x141008 - 0x141000 = 0x8

FOA为OFFSET + PointerToRawData = 0x8 + 0xE7800 = 0xE7808

全局变量对应FOA为0xE7808数据为0x12345678;

修改其对应数据并保存观察效果:

数据被成功修改.

上述示例通过代码实现(全局变量未初始化时在文件中将不会有对应数据,拉伸到内存后才会分配对应内存):

RVA转FOA

DWORD RvaToFoa(IN PVOID pBuffer, IN DWORD dwRva)
{
	//定位PE结构
	PIMAGE_DOS_HEADER			pDos = (PIMAGE_DOS_HEADER)pBuffer;
	PIMAGE_NT_HEADERS			pNth = (PIMAGE_NT_HEADERS)((PUCHAR)pBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER			pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER		pOpo = (PIMAGE_OPTIONAL_HEADER)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_SECTION_HEADER		pSec = (PIMAGE_SECTION_HEADER)((PUCHAR)pOpo + pFil->SizeOfOptionalHeader);

	//转换地址是否在头+节表中
	if (dwRva < pOpo->SizeOfHeaders)
	{
		return dwRva;
	}

	//遍历转换地址在哪个节中
	for (size_t i = 0; i < pFil->NumberOfSections; i++)
	{
		if ((dwRva >= pSec[i].VirtualAddress) && (dwRva < pSec[i].VirtualAddress + pSec[i].Misc.VirtualSize))
		{
			return dwRva - pSec[i].VirtualAddress + pSec[i].PointerToRawData;
		}

	}

	return 0;

}

FOA转RVA

DWORD FoaToRva(IN PVOID pBuffer, IN DWORD dwFoa)
{
	//定位PE结构
	PIMAGE_DOS_HEADER			pDos = (PIMAGE_DOS_HEADER)pBuffer;
	PIMAGE_NT_HEADERS			pNth = (PIMAGE_NT_HEADERS)((PUCHAR)pBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER			pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER		pOpo = (PIMAGE_OPTIONAL_HEADER)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_SECTION_HEADER		pSec = (PIMAGE_SECTION_HEADER)((PUCHAR)pOpo + pFil->SizeOfOptionalHeader);

	//转换地址是否在头+节表中
	if (dwFoa < pOpo->SizeOfHeaders)
	{
		return dwFoa;
	}

	//遍历转换地址在哪个节中
	for (size_t i = 0; i < pFil->NumberOfSections; i++)
	{
		if ((dwFoa >= pSec[i].PointerToRawData) && (dwFoa < pSec[i].PointerToRawData + pSec[i].SizeOfRawData))
		{
			return dwFoa - pSec[i].PointerToRawData + pSec[i].VirtualAddress;
		}

	}

	return 0;
}
「已注销」
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7381
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
RVA-FOA转换工具
09-29
一个简单的RVA-FOA转换工具。
pe格式从入门到图形化显示(五)-RVAFOA
最新发布
Mrack的博客
04-07 330
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的RVA(相对虚拟地址)和FOA文件偏移地址)是用于描述文件在内存和磁盘中的位置的概念。RVA是相对于PE文件载入地址的偏移位置,它是一个相对的地址(偏移)。当PE文件在磁盘中时,某个数据位置相对于文件头的偏移量称为文件偏移地址(FOA)。RVA在程序加载到内存时被使用,它指向程序在内存中的虚拟地址。FOA在程序未加载到内存时被使用,它指向程序在磁盘上的文件偏移量。
PE知识复习之PERVAFOA转换
weixin_30730053的博客
09-30 376
            PE知识复习之PERVAFOA转换 一丶简介PE的两种状态   首先我们知道PE有两种状态.一种是内存展开.一种是在文件中的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎么做.你知道虚拟地址.或者文件位置了.那么你怎么自己进行转换. 也就是说通过文件中的节数据找到在内存中这块数据的位置.或者反之. 寻找之前我们要先弄前几个概...
PE结构学习(3)_RVA转换FOA
xf555er的博客
08-07 713
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
手工解析PE(RVAFOA)
GNAIXGNAHZ的博客
06-04 216
手工解析PE RVAFOA
PE文件RVA-VA-Offset
ooyyee的专栏
01-12 2068
VA    |   Memory    |           Offset  | Disk Files  |          |             |                   |             | 00400000 +-------------+          | DOS Header  |                   | DOS Header
PE32-RVA-FileOffset-master.rar
05-01
PE32-RVA-FileOffset-master.rar
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
Pe文件结构图和Pe信息查看工具,用c++和纯sdk写的,可以查看节表,导入导出表,资源表,重定位表信息以及Rva和Offset之间的转换
libpe:PE文件解析器
05-09
直接获取PE文件的每个部分,而不是RVAFOA甚至原始数据结构。 使用引用计数来管理对象的生命周期。 支持编译为lib和dll。 与PE32(x86)和PE32 +(x64)兼容 毫无疑问,这是必备功能。 通过IPEFile而不是IPEFile...
PE文件中, RVA文件偏移的转换
guyuehun1的专栏
12-04 1798
最近在学习PE文件, 被RVA文件偏移搞的非常郁闷, 非常之纠结… 不过还好… 总算整明白了, 现整理下… 理下思路…. 就从罗云彬的教材中的例子说起吧….constszNotFound   db     ‘无法查找’, 0      .code;>>>>>>>>>>>>>>>>>;将RVA转换文件偏移;>>>>>>>>>>>>>>>>>_RVAToOffset  
PE文件解析(2):RVAFOA转换和区段表
ylh的博客
10-30 1035
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA文件对齐值是0x200。
滴水逆向——RVAFOA相互转换
sunr.
04-07 3143
(开始这段别人总结的比较好,我就拿来用了) 1.RVA2FOA 即我们现在知道内存状态下的偏移,需要找到文件状态下的偏移。 步骤如下图: step1:内存中的地址减去内存基址得到偏移,即RVA。 step2:循环遍历节表中各个节的信息,判断在哪个节中。(需要满足:内存偏移+节数据没对齐的大小>image_panyi>内存偏移) step3:找出在哪个节后,减去该节在内存中的偏移...
理解PE文件相对虚拟地址(RVA)到文件偏移的转换
热门推荐
松哥(jccz_zys)的专栏
03-12 1万+
        关于PE文件格式的详细描述在网络上可以找到一大堆,最近有空,我也来研究一把。读了很多参考资料,应该说都讲得非常清晰,尤其是看雪学院的iamgufeng翻译的那篇文章,读来受益非浅。       根据我这个菜鸟的阅读感受与实践来说来看,我觉得根据RVA正确换算出到数据相对文件的偏移这个细节这些文章都没有做过多的说明,而这是我唯一化比较多时间来思考的地方。下面我就说说我对此的理解,
0004-PE文件RVA和raw——addr的转换.md
ma_de_hao_mei_le的博客
05-26 316
友链 关键就是这个section header 在你解析到section header之前,你是无法正确的将RVA转换成disk file的raw addr的 因为你这是还不知道raw addr和虚拟地址的映射关系 一旦读取了这个section header,之后,你就获取到了在内存对齐之后的rva和raw addr的映射关系了 当然,这里的raw addr也是经过了file alignment的,有些扇区的尾部会被填充padding(null) 现在我们来看在optional header中的15个da
RVA转换FOA
qq_45694932的博客
07-19 1156
RVA->FOA 已知内存地址adress 1、如果RVA属于头(DOS+NT)那么不需要进行计算了.因为头在文件中根内存中都是一样展开的.直接从开始位置寻找到RVA个字节即可。 2、如果不在头,就要判断在那个节里面. 判断节开始位置.跟结束位置. 我们的RVA在这个值里面. adress-ImageBase-VirtualAddress=该内存地址在该节的相对偏移值 FOA=该内存地址在该节的相对偏移值+PointerTORawDATA FOA->RVA FOA-PointerTORawDAT
RVAFOA(RAW)[两种方法]
个人笔记
05-21 470
RVAFOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存中该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件中该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找出对应IMAGE_SECTION_HEADER内容 求出该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求出偏移量offset=RVA0-RV
如何用PEview,LordPE等工具查看本机kernel32.dll的文件格式,查询ExitProcess函数的地址(非RVA值,请给出真实地址!)
06-12
PEview 和 LordPE 都是针对可执行文件PE 文件格式进行分析的工具,而 kernel32.dll 是 Windows 系统自带的动态链接库,其格式也是 PE 文件格式,因此这些工具同样可以用来查看和分析 kernel32.dll 文件。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值