RVA与FOA的转换

最新推荐文章于 2023-03-05 09:36:17 发布
最新推荐文章于 2023-03-05 09:36:17 发布
阅读量684 收藏 2
点赞数
文章标签: 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nrthwind/article/details/105209148
版权

RVA与FOA的转换

1.PE程序加载入内存后头的地址与文件中一致,但对齐方式(偏移)不同
在这里插入图片描述
2.结构体:

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;		//节区的尺寸
    } Misc;
    DWORD   VirtualAddress;				//节区的RVA地址
    DWORD   SizeOfRawData;				//在文件中对齐后的尺寸
    DWORD   PointerToRawData;			//在文件中的偏移
    DWORD   PointerToRelocations;		
    DWORD   PointerToLinenumbers;		
    WORD    NumberOfRelocations;		
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;			//节的属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

3.RVA到FOA的转换:
<1>得到RVA的值:内存地址-ImageBase
<2>判断RVA是否位于PE头中,如果是:FOA == RVA
<3>判断RVA属于哪个节:

		RVA >= 节.VirtualAddress
		RVA <= 节.VirtualAddress
		差值= RVA  - 节.VirtualAddress

<4>FOA = 节.PointerToRawData + 差值

Fer1g1
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
滴水逆向——RVAFOA相互转换
sunr.
04-07 3202
(开始这段别人总结的比较好,我就拿来用了) 1.RVA2FOA 即我们现在知道内存状态下的偏移,需要找到文件状态下的偏移。 步骤如下图: step1:内存中的地址减去内存基址得到偏移,即RVA。 step2:循环遍历节表中各个节的信息,判断在哪个节中。(需要满足:内存偏移+节数据没对齐的大小>image_panyi>内存偏移) step3:找出在哪个节后,减去该节在内存中的偏移...
RVA-FOA转换工具
09-29
在IT领域,RVA(Relative Virtual Address)和FOA(File Offset Address)是两种与程序内存管理和文件存储相关的地址概念,通常在逆向工程、软件调试以及系统编程中被广泛讨论。RVA-FOA转换工具是这类软件开发和分析...
RVAFOA转换
qq_58405021的博客
12-20 1103
RVAFOA转换
RVA转换FOA
qq_45694932的博客
07-19 1160
RVA->FOA 已知内存地址adress 1、如果RVA属于头(DOS+NT)那么不需要进行计算了.因为头在文件中根内存中都是一样展开的.直接从开始位置寻找到RVA个字节即可。 2、如果不在头,就要判断在那个节里面. 判断节开始位置.跟结束位置. 我们的RVA在这个值里面. adress-ImageBase-VirtualAddress=该内存地址在该节的相对偏移值 FOA=该内存地址在该节的相对偏移值+PointerTORawDATA FOA->RVA FOA-PointerTORawDAT
RVAFOA(RAW)[两种方法]
个人笔记
05-21 480
RVAFOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存中该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件中该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找出对应IMAGE_SECTION_HEADER内容 求出该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求出偏移量offset=RVA0-RV
RVA:储层可视化与分析
05-11
RVA,全称为Reservoir Visualization and Analysis,是一个专注于地质建模和储层分析的软件工具。在石油和天然气行业中,储层分析对于理解和预测油气藏的性能至关重要。RVA利用C++编程语言进行开发,提供了强大的...
RVA:RNAseq可视化自动化
05-22
RNAseq可视化自动化RNAseq可视化自动化安装RVA install.packages( " RVA " ) 装入包装以供使用library( RVA )加载示例数据让我们加载一个摘要统计表,并将它们组合到一个名为d1的列表中。 df <- RVA :: Sample_...
国标优质籼稻的稻米品质与淀粉RVA谱特征研究 (2015年)
05-23
[方法]以广东省最近育成的水稻品种粤晶丝苗2号等为研究材料,对稻米碾磨品质、外观品质、蒸煮食味品质、营养品质和淀粉RVA谱进行了测定和相关分析。[结果和结论]国标优质籼稻具有整精米率较高、粒型窄长、腹心白少、...
PM50RVA120
07-11
三菱IPM模块PM50RVA120数据手册
PE文件解析(2):RVAFOA转换和区段表
ylh的博客
10-30 1065
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
滴水逆向作业——RVAFOA相互转换
weixin_44584614的博客
02-20 2131
PE有两种不同的状态:1.FileBuffer文件状态 2.ImageBuffer内存状态。 当需求为:改变一个变量的值,知道它在内存状态下的地址,我们需要找到他在文件状态下的地址对它进行修改。或者反之,我们知道它在文件状态下的地址、找出他在内存状态下的地址。就需要RVAFOA相互转换RVAFOA相互转换主要会使用到节表中的信息,所以我们先需要复习一下节表中的信息。 节表 节表存在于可选P...
PE结构学习(3)_RVA转换FOA
xf555er的博客
08-07 740
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件在文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
手工解析PE(RVAFOA)
GNAIXGNAHZ的博客
06-04 218
手工解析PE RVAFOA
RVAFOA【滴水逆向三期43作业】
WdIg-2023的博客
03-05 346
RVAFOA源代码,C语言逆向,滴水逆向,
RVA_AND_FOA
qq_42363151的博客
08-29 277
PE FOA RVA转化
PE之FOARVA互相转换过程与C语言实现
qq_35289660的博客
05-21 1300
文章目录说明一、FOARVA二、RVA转为FOA1.大致步骤2.特殊情况3.C语言实现函数功能三、FOA转为RVA1.大致步骤2.特殊情况3.C语言实现函数功能 说明 看滴水的视频写学习笔记总结 语言:c/c++ 编译环境:vc++6.0 C语言函数中定义的结构类型来自于头文件windows.h 准确的说,定义的PE的结构体类型的所有数据都来自与头文件winnt.h,只不过windows.h内部声明了winnt.h 一、FOARVA 缩写 英文全称 含义 FOA File Offset
PE文件RV转FOAFOARVA
weixin_33966365的博客
03-15 186
/************************************************************************/ /* 功能:虚拟内存相对地址和文件偏移的转换 参数:stRVA: 虚拟内存相对偏移地址 lpFileBuf: 文件起始地址 返回:转换后的文件偏移地址 */ /*********************************...
RVA和RAW有什么区别
最新发布
04-18
RVA (Relative Virtual Address) 是指相对虚拟地址,是相对于模块加载基址的偏移量;RAW (Relative Absolute Address) 是指相对绝对地址,是相对于物理内存地址的偏移量。简单来说,RVA 是相对于可执行文件的加载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值