说明
看滴水的视频写学习笔记总结
语言:c/c++
编译环境:vc++6.0
C语言函数中定义的结构类型来自于头文件windows.h
准确的说,定义的PE的结构体类型的所有数据都来自与头文件winnt.h
,只不过windows.h内部声明了winnt.h
一、FOA和RVA
缩写 | 英文全称 | 含义 |
---|---|---|
FOA | File Offset Address | 文件偏移地址 |
RVA | Relative Virtual Addresses | 相对虚拟地址 |
VA | Virtual Address | 虚拟地址 |
RVA
VA = RVA + ImageBase
二、RVA转为FOA
1.大致步骤
第一步:判断RVA是否在PE头区。在PE头区RVA与FOA相等,直接返回RVA。
对比第一个节表头VirtualAddress.
若RVA < VirtualAddress则说明RVA在PE头区
第二步:若RVA没有在头区,就遍历节表头,寻找这个RVA位于哪个节表区。
循环遍历节表头,在该 节表头内 满足下列条件
VirtualAddress <= RVA <= VirtualAddress + SizeOfRawData
即可确定RVA位于哪个节表头
第三步:找到RVA对应的节表区头后,计算并返回FOA的值
在对应的节表头区内,
FOA = (RVA - VirtualAddress) + PointerToRawData;
2.特殊情况
两种情况的RVA没有对应的FOA
-
RVA为内存拉伸后系统填充的地址
-
RVA超出内存范围
3.C语言实现函数功能
说明 | 意义 |
---|---|
函数名称 | size_t ConvertRvaToFoa( size_t RVA , LPVOID pFileBuffer ) |
功能 | 将RVA转化为FOA |
参数 | 参数1:要转换的RVA的值(size_t);参数2:指向文件缓冲区的指针(LPVOID) |
返回值 | 成功则返回对应的FOA,失败则返回0(这个RVA是没有对应的FOA,为内存拉伸后系统填充的地址,或者RVA超出内存范围) |
调用头文件 | stdio.h window.h |
//功能:将RVA转化为FOA
//参数:参数1:要转换的RVA的值(size_t);参数2:指向文件缓冲区的指针(LPVOID)
//返回值:成功则返回对应的FOA,失败则返回0(这个RVA是没有对应的FOA,为内存拉伸后系统填充的地址,或者RVA超出内存范围)。
size_t ConvertRvaToFoa( size_t RVA , LPVOID pFileBuffer )
{
int i ;//用于遍历节表
// size_t FOA = 0;
//定义表头指针
PIMAGE_DOS_HEADER pDosHeader = NULL;
PIMAGE_NT_HEADERS32 pNtHeader = NULL;
PIMAGE_FILE_HEADER pFileHeader = NULL;
PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
PIMAGE_SECTION_HEADER pSectionHeader = NULL;
//给表头赋初值
pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);
pFileHeader = (PIMAGE_FILE_HEADER)( (DWORD)pNtHeader+4 );
pOptionHeader = (PIMAGE_OPTIONAL_HEADER)( (DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
//第一个节表头
pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pOptionHeader + pFileHeader->SizeOfOptionalHeader);
if(RVA < pSectionHeader->VirtualAddress)//判断RVA是否在PE头区
{
if(RVA < pSectionHeader->PointerToRawData)
return RVA;//此时FOA == RVA
else
return 0;
}
for(i=0 ; i<pFileHeader->NumberOfSections ; i++)//循环遍历节表头
{
if( i )//遍历节表头,第一次不遍历,
pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pSectionHeader + IMAGE_SIZEOF_SECTION_HEADER );
if(RVA >= pSectionHeader->VirtualAddress )//是否大于这个节表的RVA
{
if( RVA <= pSectionHeader->VirtualAddress + pSectionHeader->SizeOfRawData )//判断是否在这个节区
return ( RVA - pSectionHeader->VirtualAddress ) + pSectionHeader->PointerToRawData;//确定节区后,计算FOA
}
else//RVA不可能此时的pSectionHeader->VirtuallAddress小,除非是返回值为0的情况。
return 0;
}
return 0;
}
三、FOA转为RVA
1.大致步骤
和VA转为FOA
的步骤框架差不多,但细节不一样
第一步:判断FOA是否在PE头区。在PE头区FOA与RVA相等,直接返回这个FOA。
对比第一个节表头的PointerToRawData
若FOA < PointerToRawData则证明FOA在PE头区
第二步:若FOA没有在头区,就遍历节表头,寻找这个FOA位于哪个节表区。
循环遍历节表头,在该 节表头内 满足下列条件
PointerToRawData <= FOA < PointerToRawData + SizeOfRawData
即可确定FOA位于哪个节表头
第三步:找到FOA对应的节表区头后,计算并返回RVA的值
在对应的节表头区内,
RVA = (FOA - PointerToRawData) + VirtualAddress;
2.特殊情况
FOA超出文件内存的范围
3.C语言实现函数功能
说明 | 意义 |
---|---|
函数名称 | size_t ConvertFoaToRva( size_t FOA , LPVOID pFileBuffer ) |
功能 | 将FOA转换为RVA |
参数 | 参数1:要转换的FOA值(size_t);参数2:指向文件内存的指针(LPVOID) |
返回值 | 成功则返回对应的RVA,失败返回0(此时为FOA越界) |
调用头文件 | stdio.h windows.h |
//功能:将FOA转换为RVA
//参数:参数1:要转换的FOA值(size_t);参数2:指向文件内存的指针(LPVOID);
//返回值:成功则返回对应的RVA,失败返回0(此时为FOA越界)。
size_t ConvertFoaToRva( size_t FOA , LPVOID pFileBuffer )
{
int i = 0;//用于遍历节表。
// size_t RVA = 0;
//定义表头指针
PIMAGE_DOS_HEADER pDosHeader = NULL;
PIMAGE_NT_HEADERS32 pNtHeader = NULL;
PIMAGE_FILE_HEADER pFileHeader = NULL;
PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
PIMAGE_SECTION_HEADER pSectionHeader = NULL;
//给表头赋初值
pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
pNtHeader = (PIMAGE_NT_HEADERS32)( (DWORD)pDosHeader + pDosHeader->e_lfanew );
pFileHeader = (PIMAGE_FILE_HEADER)( (DWORD)pNtHeader + 4 );
pOptionHeader = (PIMAGE_OPTIONAL_HEADER)( (DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
//第一个节表头
pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pOptionHeader + pFileHeader->SizeOfOptionalHeader );
if( FOA < pSectionHeader->PointerToRawData )//判断是否位于 头区
return FOA ; //这是RVA == FOA ;
for(i=0 ; i<pFileHeader->NumberOfSections ; i++)//循环遍历节表头
{
if( i )//遍历节表头,第一次不遍历,
pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pSectionHeader + IMAGE_SIZEOF_SECTION_HEADER);
if( FOA >= pSectionHeader->PointerToRawData )//是否大于这个节表的FOA
{
if( FOA < pSectionHeader->PointerToRawData + pSectionHeader->SizeOfRawData )//判断是否在这个节表区域
return (FOA - pSectionHeader->PointerToRawData ) + pSectionHeader->VirtualAddress ;//计算并返回RVA
}
}
return 0;
}
欢迎大家留言交流 ^ _ ^