【2021.01.14】RVA与FOA的转换

最新推荐文章于 2024-04-07 23:35:18 发布
最新推荐文章于 2024-04-07 23:35:18 发布
阅读量349 收藏 1
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/112618996
版权

RVA与FOA

RVA:相对虚拟地址

FOA:文件偏移地址

如果想改变一个全局变量的初始值,该怎么做?

  1. 有初始值的全局变量和没有初始值的全局变量是有区别的,没有初始值的全局变量在PE文件中根本没有它的位置。
  2. 只有当被文件被载入到内存中以后,才会给其变量分配内存地址存放它的值。
  3. 而有初始值的全局变量,它的初始值是存放在PE文件中的。

面临的问题是什么?

知道了全局变量的内存地址后,不能直接拿着该变量的地址去PE文件中搜索,因为在内存中展开的PE文件和在文件中的PE文件它们的对齐方式是不同的。

RVA到FOA的转换

  • 得到RVA的值:内存地址 - ImageBase
  • 判断RVA是否位于PE头中,如果是的话:FOA == RVA,直接返回。
  • 判断RVA是否位于PE头中,如果不在,判断RVA位于哪个节:
  1. RVA >= 节.VirtualAddress
  2. RVA >= 节.VirtualAddress + 当前节内存对齐后的大小
  3. 差值 = RVA - 节.VirtualAddress
  • FOA = 节.PointerToRawData + 差值
oalken
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向——RVAFOA相互转换
sunr.
04-07 3223
(开始这段别人总结的比较好,我就拿来用了) 1.RVA2FOA 即我们现在知道内存状态下的偏移,需要找到文件状态下的偏移。 步骤如下图: step1:内存中的地址减去内存基址得到偏移,即RVA。 step2:循环遍历节表中各个节的信息,判断在哪个节中。(需要满足:内存偏移+节数据没对齐的大小>image_panyi>内存偏移) step3:找出在哪个节后,减去该节在内存中的偏移...
RVA-FOA转换工具
09-29
在IT领域,RVA(Relative Virtual Address)和FOA(File Offset Address)是两种与程序内存管理和文件存储相关的地址概念,通常在逆向工程、软件调试以及系统编程中被广泛讨论。RVA-FOA转换工具是这类软件开发和分析...
RVAFOA转换
qq_58405021的博客
12-20 1116
RVAFOA转换
RVAFOA转换
weixin_43754657的博客
12-17 1412
RVAFOA转换
RVAFOA(RAW)[两种方法]
个人笔记
05-21 484
RVAFOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存中该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件中该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找出对应IMAGE_SECTION_HEADER内容 求出该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求出偏移量offset=RVA0-RV
PE输出表模块.rar
04-05
3. 导出地址表:这是输出表的核心,包含了每个导出函数的实际地址或相对虚拟地址(RVA)。在32位系统中,每个条目是一个DWORD,而在64位系统中,是一个QWORD。此外,还有一种特殊情况,如果函数未导出,但有导出索引...
PE32-RVA-FileOffset-master.rar
05-01
标题中的"PE32-RVA-FileOffset-master"暗示了这个压缩包可能包含与PE(Portable Executable)文件格式相关的代码或工具,特别是关于RVA(Relative Virtual Address)和File Offset的概念。在Windows操作系统中,PE...
中国矿业大学计算机科学与技术系报告.pdf
11-07
【计算机病毒与反病毒技术——理解PE文件格式】 在计算机科学与技术领域,尤其是在网络安全和反病毒研究中,理解PE(Portable Executable)文件格式至关重要。PE文件格式是Windows操作系统中用于可执行文件、动态...
RVA:储层可视化与分析
05-11
RVA,全称为Reservoir Visualization and Analysis,是一个专注于地质建模和储层分析的软件工具。在石油和天然气行业中,储层分析对于理解和预测油气藏的性能至关重要。RVA利用C++编程语言进行开发,提供了强大的...
手工解析PE(RVAFOA)
GNAIXGNAHZ的博客
06-04 219
手工解析PE RVAFOA
RAW与RVA
qq_36963214的博客
10-24 1782
前言 本文描述节区RAW与RVA之间的的转换 RAW:文件偏移 RVA:相对虚拟地址(是指相对与ImageBase的偏移) 节区数据结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; DWORD SizeOfR
pe格式从入门到图形化显示(五)-RVAFOA
最新发布
Mrack的博客
04-07 417
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的RVA(相对虚拟地址)和FOA(文件偏移地址)是用于描述文件在内存和磁盘中的位置的概念。RVA是相对于PE文件载入地址的偏移位置,它是一个相对的地址(偏移)。当PE文件在磁盘中时,某个数据位置相对于文件头的偏移量称为文件偏移地址(FOA)。RVA在程序加载到内存时被使用,它指向程序在内存中的虚拟地址。FOA在程序未加载到内存时被使用,它指向程序在磁盘上的文件偏移量。
7.PE文件之RVAFOA转换
kernelhack
10-27 4892
PE文件头和PE内存映像的文件头大小是一样的.节的数据在内存和磁盘文件的大小是不一样的,节表项记录了内存映像中节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件中的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存中是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE中除去文件头以外的内容,而文件头在磁盘文件中和内存中是没
滴水逆向作业——RVAFOA相互转换
weixin_44584614的博客
02-20 2136
PE有两种不同的状态:1.FileBuffer文件状态 2.ImageBuffer内存状态。 当需求为:改变一个变量的值,知道它在内存状态下的地址,我们需要找到他在文件状态下的地址对它进行修改。或者反之,我们知道它在文件状态下的地址、找出他在内存状态下的地址。就需要RVAFOA相互转换RVAFOA相互转换主要会使用到节表中的信息,所以我们先需要复习一下节表中的信息。 节表 节表存在于可选P...
PE之FOARVA互相转换过程与C语言实现
qq_35289660的博客
05-21 1305
文章目录说明一、FOARVA二、RVA转为FOA1.大致步骤2.特殊情况3.C语言实现函数功能三、FOA转为RVA1.大致步骤2.特殊情况3.C语言实现函数功能 说明 看滴水的视频写学习笔记总结 语言:c/c++ 编译环境:vc++6.0 C语言函数中定义的结构类型来自于头文件windows.h 准确的说,定义的PE的结构体类型的所有数据都来自与头文件winnt.h,只不过windows.h内部声明了winnt.h 一、FOARVA 缩写 英文全称 含义 FOA File Offset
PE文件解析(2):RVAFOA转换和区段表
ylh的博客
10-30 1083
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
RVA_AND_FOA
qq_42363151的博客
08-29 277
PE FOA RVA转化
RVAFOA转换---三
m0_73452266的博客
03-18 443
如何修改PE文件改变输出结果 RVAFOA的关系
Windows NT PE文件格式详解:.text、.bss等段解析
为了找到数据目录在文件中的实际位置,需要将RVA转换为文件偏移量,这通常涉及到对节区头部的处理。 预定义的段在PE文件中扮演着特定的角色: 1. .text 段:包含了可执行的代码,它是合并在一起的,避免了Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值