PE文件RVA-VA-Offset

最新推荐文章于 2024-04-13 22:44:13 发布
最新推荐文章于 2024-04-13 22:44:13 发布
阅读量2k 收藏 2
点赞数 2
分类专栏: WINDOWS API应用开发
VA     |   Memory    |           Offset  | Disk Files  |

         |             |                   |             |
00400000 +-------------+<---------00000000 +-------------+ 
         | DOS Header  |                   | DOS Header  |
         +-------------+                   +-------------+
         |  DOS stub   |                   |  DOS stub   |
         +-------------+                   +-------------+
         |  PE header  |                   |  PE header  |
         +-------------+                   +-------------+
         |Section Table|                   |Section Table|
         +-------------+  /-------00000600 +-------------+
         |000 Full 0000|  |                |   .text     |
         |000 Zero 0000|  |  /----0000D400 +-------------+
00401000 +-------------+<-/  |             |   .data  - A -|  0000D450  
         |   .text     |     |  /-00010000 +-------------+
         +-------------+     |  |          |   .rsrc     |
         |000 Full 0000|     |  |          +-------------+
         |000 Zero 0000|     |  |
0040E000 +-------------+<----/  |
0040E050  |- .data     |        |
         +-------------+        |
         |000 Full 0000|        |
         |000 Zero 0000|        |
00413000 +-------------+<-------/
         |   .rsrc     |
         +-------------+                 

#   Name     Virt Size    RVA        Phys Size  Phys Off   Flags  
--  -------- ---------  ---------  ---------  ---------  --------- 
01  .text     0000CCC0   00001000   0000CE00   00000600   60000020 [] 
02  .data      00004628    0000E000    00002C00    0000D400    C0000040 [] 

03  .rsrc     000003C8   00013000   00000400   00010000   40000040 [] 


对于变量A来说:

File_Offset   就是磁盘文件中A的位置。
              File_Offset = VA - ImageBase - VRk = RVA - VRk

ImageBase     就是文件加载到内存的起始位置。
              ImageBase = VA - RVA
              多为:0x00400000,0x01000000

EntryPoint    就是.text的VA地址。

VA    就是内存映像中A的位置,即A的地址。
      VA = ImageBase + FileOffset + VRk = ImageBase + RVA

RVA   就是内存映像中A的位置文件映射基址的差。
      RVA = VA - ImageBase = File_Offset + VRk

  PSVA  就好比是“某一时刻”,例如:九点到校上课。
      RVA 就好比是“某一时间段”,例如:七点起床后,过两个小时到校上课。
      VA  是绝对的,一旦确定便不可更改。九点到校迟一秒钟也不行。
      RVA 是系相对的,虽然说过两个小时到校上课,但是如果我七点起床,便是九点上课。
         而如果我八点起床,便是十点上课了。

VRk  就是文件映射到内存后,每一节之间填充的00的个数。
         由于要进行对齐,所以文件加载到内存后每一节之间要填充大量00
         因此文件中A的位置会变化。由于各个文件头各个节大小不变,所以:
         VRk = RVA - File_Offset = <填充的00的个数>

最终,我们计算:

由FileOffset到RVA/VA

     ImageBase    = 00400000
     A FileOffset = 0000D450

     RVA = FileOffset(A) + ( RVA(.data) - FileOffset(.data) )
         = FileOffset(A) +  VRk
         = 0000D450 + ( 0000E000 - 0000D400 )
         = 0000D450 + C00
         = 0000E050

     VA  = RVA + ImageBase = 0000E050 + 00400000 = 0040E050


RVA/VA到FileOffset:

     RVA = 0000E050   /   VA = 0040E050   /   ImageBase = 00400000

     FileOffset = RVA(A) - RVk
                = RVA(A) - ( RVA(.data) - FileOffset(.data) )
                = 0000E050 - ( 0000E000 - 0000D400 )
                = 0000E050 - C00
                = 0000D450 


==========================================================================



(表一)列出的文件偏移地址和RVA之间的对应关系可以让大家更直接地理解这种细微的差异

   由于内存数据节相对于装载基址的偏移量和文件数据节的偏移量有上述差异,所以进行文件偏移到虚拟内存地址之间的换算时,还要看所转换的地址位于第几个节内。

   我们把这种由存储单位差异引起的节基址差称作节偏移,在上例

   .text节偏移=0x1000-0x400=0xc00

   .rdata节偏移=0x7000-0x6200=0xE00

   .data节偏移=0x9000-0x7400=0x1C00

   .rsrc节偏移=0x2D000-0x7800=0x25800

   文件偏移地址与虚拟内存地址之间的换算关系可以用下面的公式来计算。

   文件偏移地址=虚拟内存地址(VA)-装载基址(Image Base)-节偏移=RVA-节偏移


一瓶不满半瓶晃
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RVAVA、RAW、偏移量
late0001的专栏
06-09 2631
VA,虚拟地址,也就是程序被加载到内存中的地址 RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。 RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字节流,OFFSET就是这个字节流中的位置。 //文件偏移又称物理偏移,就是保存在磁盘里的文件。 换算关系为:
7.PE文件RVA与FOA转换
kernelhack
10-27 4872
PE文件头和PE内存映像的文件头大小是一样的.节的数据在内存和磁盘文件的大小是不一样的,节表项记录了内存映像中节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件中的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存中是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE中除去文件头以外的内容,而文件头在磁盘文件中和内存中是没
PE文件的分析和构造超详细过程
最新发布
m0_62574258的博客
04-13 1686
本文详细讲述如何从0构造一个PE文件,运行该文件会弹出一个HelloPE的窗口。
PE文件:(2)VARVA和FileOffset的理解
weixin_43972499的博客
04-06 1460
PE文件基本概念文件对齐和内存对齐RVA和FileOffsetVA及重定向的概念 基本概念   在PE文件的学习中,我们经常看到RVAVA文件偏移,内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
PE文件解析(2):RVA与FOA转换和区段表
ylh的博客
10-30 1063
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
备忘录——通过RVA计算文件位置
weixin_33724046的博客
01-08 162
备忘录——通过RVA计算文件位置 原创:Anders Liu 摘要:本文介绍了如何通过PE文件中某一项的RVA来计算其在文件中的位置。 参考文献 ECMA-335——Common Language Infrastructure (CLI) 4th Edition, June 2006 范畴 该备忘录描述了在分析PE(可移植可执行,Portable Executabl...
PE32-RVA-FileOffset-master.rar
05-01
标题中的"PE32-RVA-FileOffset-master"暗示了这个压缩包可能包含与PE(Portable Executable)文件格式相关的代码或工具,特别是关于RVA(Relative Virtual Address)和File Offset的概念。在Windows操作系统中,PE...
RVA-FOA转换工具
09-29
在提供的"RVA-FOA"压缩包文件中,可能包含了该转换工具的执行文件或源代码,用户可以下载并使用它来进行实际的操作。对于软件开发者、逆向工程师以及安全专家来说,理解和使用这类工具是提升工作效率的关键。通过...
rva-devops-web-client:用于使用 rva-devops-api JSON REST 服务的 Rails Web 客户端
06-12
此自述文件通常会记录启动和运行应用程序所需的任何步骤。 您可能想要涵盖的内容: Ruby版 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列、缓存服务器、搜索引擎等) 部署说明 … ...
RVA-FAMIS:搜索 FAMIS 承保范围和共付额
06-28
RVA-FAMIS 地位 这个原型是由 2015 年 Richmond VA 团队在Alpha (构建周)期间在 Code for America 中创建的。 我们的目的是留下这个存储库,作为我们在构建周期间工作的记录。 这不再是一个活动项目,而是在不同的...
PE Format Layout-计算机科学
04-22
/* RVA to original unbound IAT */ PIMAGE_THUNK_DATA OriginalFirstThunk;} u; DWORD TimeDateStamp; /* 0 if not bound,* -1 if bound, and real date\time stamp * in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT * ...
PE总结
Life_hes_az的博客
03-24 513
个人觉得PE结构中RVA–&amp;gt;RAW、IAT、EAT等是较难理解的内容,在此做一个笔记(本文中部分内容来自网络,侵删) PE PE(Portable Executable)文件是运行与windows系统下的可执行文件格式,像我们平常所见到的.exe、.dll都是PE文件,除此之外,像.sys(驱动文件)、.obj(对象文件)等都是PE文件。 个人觉得,在学习PE结构最难的就是理解硬盘...
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 737
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
VARVA、FOA
xys616的博客
05-25 3371
PE 中涉及的地址有四类,它们分别是: 虚拟内存地址(VA) 相对虚拟内存地址(RVA文件偏移地址(FOA) 特殊地址 要想了解这些概念,需要先简单地了解一下 32 位环境下 Windows 对内存的管理,以及分页机制的原理。 扩展阅读:32 位环境下的 Windows 内存管理 32 位 CPU 的寻址能力为 4GB(即 232 个字节),但有些用户的物理内存达不到这个值。于是操作系统...
相对虚拟地址RVA与虚拟地址VA介绍
SXXYNHHXX的博客
09-01 808
RVA的值是相对于模块起始位置的偏移量,需要加上模块的基址才能得到真正的虚拟地址。虚拟地址(VA)是进程在虚拟地址空间中的地址,通过操作系统的内存管理单元将其映射到物理地址,实现对内存的访问。当模块被加载到进程的虚拟地址空间时,操作系统将模块的基址与RVA结合,生成对应的虚拟地址。相对虚拟地址(Relative Virtual Address,RVA)和虚拟地址(Virtual Address,VA)都是在操作系统和计算机体系结构中使用的概念,用于表示内存中的地址。
pe格式从入门到图形化显示(五)-RVA和FOA
Mrack的博客
04-07 392
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的RVA(相对虚拟地址)和FOA(文件偏移地址)是用于描述文件在内存和磁盘中的位置的概念。RVA是相对于PE文件载入地址的偏移位置,它是一个相对的地址(偏移)。当PE文件在磁盘中时,某个数据位置相对于文件头的偏移量称为文件偏移地址(FOA)。RVA在程序加载到内存时被使用,它指向程序在内存中的虚拟地址。FOA在程序未加载到内存时被使用,它指向程序在磁盘上的文件偏移量。
PE文件VARVA和FOA
weixin_43742894的博客
03-31 5300
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
PE文件格式的RVA概念
04-14 1320
我们常说的RVA,很容易让我们理解成这是相对于节的RVA,其实不然。要理解RVA的概念,首先还必须理解Section Header结构(由Section Header构成节表)。typedef struct _IMAGE_SECTION_HEADER {    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];    union {            DWORD   
PE之FOA与RVA互相转换过程与C语言实现
qq_35289660的博客
05-21 1300
文章目录说明一、FOA和RVA二、RVA转为FOA1.大致步骤2.特殊情况3.C语言实现函数功能三、FOA转为RVA1.大致步骤2.特殊情况3.C语言实现函数功能 说明 看滴水的视频写学习笔记总结 语言:c/c++ 编译环境:vc++6.0 C语言函数中定义的结构类型来自于头文件windows.h 准确的说,定义的PE的结构体类型的所有数据都来自与头文件winnt.h,只不过windows.h内部声明了winnt.h 一、FOA和RVA 缩写 英文全称 含义 FOA File Offset
JIURL PE 格式学习总结(四)-- PE文件中的资源.docx
12-07
"JIURL PE 格式学习总结(四)-- PE文件中的资源" 这篇文档主要探讨了PE(Portable Executable)文件格式中的资源部分,包括如何定位和解析PE文件中的资源,如位图(BMP)、光标、菜单和对话框等。以下是详细的知识...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值