PE之FOA与RVA互相转换过程与C语言实现

最新推荐文章于 2024-04-07 23:35:18 发布
最新推荐文章于 2024-04-07 23:35:18 发布
阅读量1.3k 收藏 8
点赞数 2
分类专栏: PE文件结构 文章标签: c语言 exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35289660/article/details/106264835
版权

文章目录

说明

看滴水的视频写学习笔记总结

语言:c/c++

编译环境:vc++6.0

C语言函数中定义的结构类型来自于头文件windows.h

准确的说,定义的PE的结构体类型的所有数据都来自与头文件winnt.h,只不过windows.h内部声明了winnt.h

一、FOA和RVA

缩写英文全称含义
FOAFile Offset Address文件偏移地址
RVARelative Virtual Addresses相对虚拟地址
VAVirtual Address虚拟地址

RVA

VA = RVA + ImageBase

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d6wchHYO-1590056089133)(E:\Typora\image\image-20200521172839449.png)]

二、RVA转为FOA

1.大致步骤

第一步:判断RVA是否在PE头区。在PE头区RVA与FOA相等,直接返回RVA。

对比第一个节表头VirtualAddress.
若RVA < VirtualAddress则说明RVA在PE头区

第二步:若RVA没有在头区,就遍历节表头,寻找这个RVA位于哪个节表区。

循环遍历节表头,在该 节表头内 满足下列条件
VirtualAddress <= RVA <= VirtualAddress + SizeOfRawData
即可确定RVA位于哪个节表头

第三步:找到RVA对应的节表区头后,计算并返回FOA的值

在对应的节表头区内,
FOA = (RVA - VirtualAddress) + PointerToRawData;

2.特殊情况

两种情况的RVA没有对应的FOA

  • RVA为内存拉伸后系统填充的地址

  • RVA超出内存范围

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-skJxECmP-1590056089136)(E:\Typora\image\image-20200521174958298.png)]

3.C语言实现函数功能

说明意义
函数名称size_t ConvertRvaToFoa( size_t RVA , LPVOID pFileBuffer )
功能将RVA转化为FOA
参数参数1:要转换的RVA的值(size_t);参数2:指向文件缓冲区的指针(LPVOID)
返回值成功则返回对应的FOA,失败则返回0(这个RVA是没有对应的FOA,为内存拉伸后系统填充的地址,或者RVA超出内存范围)
调用头文件stdio.h window.h
//功能:将RVA转化为FOA
//参数:参数1:要转换的RVA的值(size_t);参数2:指向文件缓冲区的指针(LPVOID)
//返回值:成功则返回对应的FOA,失败则返回0(这个RVA是没有对应的FOA,为内存拉伸后系统填充的地址,或者RVA超出内存范围)。
size_t ConvertRvaToFoa( size_t RVA , LPVOID pFileBuffer )
{
	int i ;//用于遍历节表
//	size_t FOA = 0;

	//定义表头指针
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS32 pNtHeader = NULL;
	PIMAGE_FILE_HEADER pFileHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;	

	//给表头赋初值
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	pFileHeader = (PIMAGE_FILE_HEADER)( (DWORD)pNtHeader+4 );
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)( (DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);	
	//第一个节表头
	pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pOptionHeader + pFileHeader->SizeOfOptionalHeader);
	
	if(RVA < pSectionHeader->VirtualAddress)//判断RVA是否在PE头区
	{
		if(RVA < pSectionHeader->PointerToRawData)
			return RVA;//此时FOA == RVA
		else
			return 0;
	}

	for(i=0 ; i<pFileHeader->NumberOfSections ; i++)//循环遍历节表头
	{
		if( i )//遍历节表头,第一次不遍历,
			pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pSectionHeader + IMAGE_SIZEOF_SECTION_HEADER );
		
		if(RVA >= pSectionHeader->VirtualAddress )//是否大于这个节表的RVA
		{
			if( RVA <= pSectionHeader->VirtualAddress + pSectionHeader->SizeOfRawData )//判断是否在这个节区
				return ( RVA - pSectionHeader->VirtualAddress ) + pSectionHeader->PointerToRawData;//确定节区后,计算FOA
		}
		else//RVA不可能此时的pSectionHeader->VirtuallAddress小,除非是返回值为0的情况。
			return 0;		
	}
		
	return 0;
}

三、FOA转为RVA

1.大致步骤

VA转为FOA的步骤框架差不多,但细节不一样

第一步:判断FOA是否在PE头区。在PE头区FOA与RVA相等,直接返回这个FOA。

对比第一个节表头的PointerToRawData
若FOA < PointerToRawData则证明FOA在PE头区

第二步:若FOA没有在头区,就遍历节表头,寻找这个FOA位于哪个节表区。

循环遍历节表头,在该 节表头内 满足下列条件
PointerToRawData <= FOA < PointerToRawData + SizeOfRawData
即可确定FOA位于哪个节表头

第三步:找到FOA对应的节表区头后,计算并返回RVA的值

在对应的节表头区内,
RVA = (FOA - PointerToRawData) + VirtualAddress;

2.特殊情况

FOA超出文件内存的范围

3.C语言实现函数功能

说明意义
函数名称size_t ConvertFoaToRva( size_t FOA , LPVOID pFileBuffer )
功能将FOA转换为RVA
参数参数1:要转换的FOA值(size_t);参数2:指向文件内存的指针(LPVOID)
返回值成功则返回对应的RVA,失败返回0(此时为FOA越界)
调用头文件stdio.h windows.h
//功能:将FOA转换为RVA
//参数:参数1:要转换的FOA值(size_t);参数2:指向文件内存的指针(LPVOID);
//返回值:成功则返回对应的RVA,失败返回0(此时为FOA越界)。
size_t ConvertFoaToRva( size_t FOA , LPVOID pFileBuffer )
{
	int i = 0;//用于遍历节表。
//	size_t RVA = 0;
	
	//定义表头指针
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS32 pNtHeader = NULL;
	PIMAGE_FILE_HEADER pFileHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	//给表头赋初值
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	pNtHeader = (PIMAGE_NT_HEADERS32)( (DWORD)pDosHeader + pDosHeader->e_lfanew  );
	pFileHeader = (PIMAGE_FILE_HEADER)( (DWORD)pNtHeader + 4 );
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)( (DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
	//第一个节表头
	pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pOptionHeader + pFileHeader->SizeOfOptionalHeader );

	if( FOA < pSectionHeader->PointerToRawData )//判断是否位于 头区
		return FOA ; //这是RVA == FOA ;
	
	for(i=0 ; i<pFileHeader->NumberOfSections ; i++)//循环遍历节表头
	{
		if( i )//遍历节表头,第一次不遍历,
			pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pSectionHeader + IMAGE_SIZEOF_SECTION_HEADER);

		if( FOA >= pSectionHeader->PointerToRawData )//是否大于这个节表的FOA
		{
			if( FOA < pSectionHeader->PointerToRawData + pSectionHeader->SizeOfRawData )//判断是否在这个节表区域
				return (FOA - pSectionHeader->PointerToRawData ) + pSectionHeader->VirtualAddress ;//计算并返回RVA
		}			
	}

	return 0;
}

欢迎大家留言交流 ^ _ ^

C4cke
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
滴水逆向——RVAFOA相互转换
sunr.
04-07 3204
(开始这段别人总结的比较好,我就拿来用了) 1.RVA2FOA 即我们现在知道内存状态下的偏移,需要找到文件状态下的偏移。 步骤如下图: step1:内存中的地址减去内存基址得到偏移,即RVA。 step2:循环遍历节表中各个节的信息,判断在哪个节中。(需要满足:内存偏移+节数据没对齐的大小>image_panyi>内存偏移) step3:找出在哪个节后,减去该节在内存中的偏移...
RVAFOA(RAW)[两种方法]
个人笔记
05-21 480
RVAFOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存中该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件中该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找出对应IMAGE_SECTION_HEADER内容 求出该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求出偏移量offset=RVA0-RV
7.PE文件之RVAFOA转换
kernelhack
10-27 4879
PE文件头和PE内存映像的文件头大小是一样的.节的数据在内存和磁盘文件的大小是不一样的,节表项记录了内存映像中节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件中的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存中是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE中除去文件头以外的内容,而文件头在磁盘文件中和内存中是没
RVAFOA转换
qq_58405021的博客
12-20 1103
RVAFOA转换
PE文件解析(2):RVAFOA转换和区段表
ylh的博客
10-30 1069
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
PE总结
Life_hes_az的博客
03-24 513
个人觉得PE结构中RVA–&amp;gt;RAW、IAT、EAT等是较难理解的内容,在此做一个笔记(本文中部分内容来自网络,侵删) PE PE(Portable Executable)文件是运行与windows系统下的可执行文件格式,像我们平常所见到的.exe、.dll都是PE文件,除此之外,像.sys(驱动文件)、.obj(对象文件)等都是PE文件。 个人觉得,在学习PE结构最难的就是理解硬盘...
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 743
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件在文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
RVA-FOA转换工具
09-29
在IT领域,RVA(Relative Virtual Address)和FOA(File Offset Address)是两种与程序内存管理和文件存储相关的地址概念,通常在逆向工程、软件调试以及系统编程中被广泛讨论。RVA-FOA转换工具是这类软件开发和分析...
基于融合GMM聚类与FOA-GRNN模型的推荐算法
01-20
针对传统基于物品的推荐算法由于数据稀疏性导致的低推荐精度问题,提出了一种融合GMM聚类和FOA-GRNN模型的推荐算法。该算法首先使用高斯混合模型(GMM)方法对物品特征进行聚类;然后根据聚类结果分别构造评分矩阵,...
基于LLE-FOA-BP模型的煤与瓦斯突出强度预测
04-30
针对目前煤与瓦斯突出强度预测精度低、稳定性差及训练速度慢等问题,提出了一种基于局部线性嵌入法-果蝇优化算法-BP神经网络(LLE-FOA-BP)模型的煤与瓦斯突出强度预测方法。借助LLE算法的非线性数据特征提取优势,...
上传_svm优化_FOA_FOA-SVM_FOASVM_FOA优化lssvm
09-10
支持向量机(Support Vector Machine, SVM)是一种广泛应用于分类和回归分析的机器学习模型,以其...在实际应用中,通过不断迭代和优化,可以找到一组最适合特定数据集的SVM参数,从而实现更高效、更准确的模型训练。
基于高德导航数据与FOA-GRNN模型的驾驶倾向性辨识方法.docx
11-28
标题中的“基于高德导航数据与FOA-GRNN模型的驾驶倾向性辨识方法”指的是一项利用高德导航数据和改进的泛函优化算法-广义回归神经网络(FOA-GRNN)来识别驾驶者驾驶倾向性的研究方法。驾驶倾向性是衡量驾驶员在驾驶...
RVAFOA转换
qq_41232519的博客
08-28 698
文章目录一、全局变量二、RVAFOA转换: 一、全局变量 一个全局变量有初始值,那么它的初始值是存在PE中的 一个全局变量没有初始值,只有文件加载在内存中才会给它分配空间 二、RVAFOA转换: <1> 得到RVA的值:内存地址 - ImageBase <2> 判断RVA是否位于PE头中,如果是:FOA == RVA <3> 判断RVA位于哪个节: RVA >= 节.VirtualAddress RVA <= 节.VirtualAddress +
滴水逆向作业——RVAFOA相互转换
weixin_44584614的博客
02-20 2133
PE有两种不同的状态:1.FileBuffer文件状态 2.ImageBuffer内存状态。 当需求为:改变一个变量的值,知道它在内存状态下的地址,我们需要找到他在文件状态下的地址对它进行修改。或者反之,我们知道它在文件状态下的地址、找出他在内存状态下的地址。就需要RVAFOA相互转换RVAFOA相互转换主要会使用到节表中的信息,所以我们先需要复习一下节表中的信息。 节表 节表存在于可选P...
pe格式从入门到图形化显示(五)-RVAFOA
最新发布
Mrack的博客
04-07 403
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的RVA(相对虚拟地址)和FOA(文件偏移地址)是用于描述文件在内存和磁盘中的位置的概念。RVA是相对于PE文件载入地址的偏移位置,它是一个相对的地址(偏移)。当PE文件在磁盘中时,某个数据位置相对于文件头的偏移量称为文件偏移地址(FOA)。RVA在程序加载到内存时被使用,它指向程序在内存中的虚拟地址。FOA在程序未加载到内存时被使用,它指向程序在磁盘上的文件偏移量。
PE文件格式的RVA概念
04-14 1322
我们常说的RVA,很容易让我们理解成这是相对于节的RVA,其实不然。要理解RVA的概念,首先还必须理解Section Header结构(由Section Header构成节表)。typedef struct _IMAGE_SECTION_HEADER {    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];    union {            DWORD   
PE文件:VA、RVAFOA
weixin_43742894的博客
03-31 5330
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
PE文件:(2)VA、RVA和FileOffset的理解
weixin_43972499的博客
04-06 1470
PE文件基本概念文件对齐和内存对齐RVA和FileOffsetVA及重定向的概念 基本概念   在PE文件的学习中,我们经常看到RVA,VA,文件偏移,内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
PE导入表和IAT表的原理及工作关系
qq_35289660的博客
07-14 4972
PE导入表和IAT表的原理及工作关系 文章目录PE导入表和IAT表的原理及工作关系0.说明1.PE导入表和IAT表大致工作关系(1)为什么会有IAT表(2)为什么会有导入表2.导入表和IAT表的真正关系(原理)(1)OriginalFirstThunk(2)Name(3)FirstAddress3.C语言解析导出表(1)建议(2)C源代码4.移动导出表到新增节区(1)流程(2)我遇到的困难(3)C源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值