PE文件格式中数据目录项中的导入表和VA-RVA-FA转换

最新推荐文章于 2022-05-03 21:09:47 发布
最新推荐文章于 2022-05-03 21:09:47 发布
阅读量1.5k 收藏 6
点赞数 1
分类专栏: PE文件格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35426012/article/details/103084022
版权

VA

va(虚拟地址):虚拟地址是内存中的地址,每一个内存空间都有一个地址表示,这就是虚拟地址如打开OD,加载程序,里面的每一个地址都是虚拟地址,VA如下图,PE文件加载进内存的VA都是由imageBase(基址)+RVA(相对虚拟地址)形成的绝对虚拟地址VA
在这里插入图片描述

RVA

RVA(相对虚拟地址):相对虚拟地址相对的是选项头里面的字段ImageBase(程序基址),PE结构中大部分字段的存的就是RVA 举例:假如你的ImageBase是00400000 节表头中的VirtualAddress是1000 这时你的节表数据映射到内存的VA(绝对虚拟地址)就是00401000

FOA

FOA(文件偏移地址):相对于文件开始的位置偏移,PE数据存在文件中的地址就是FOA,举例:你的文件开始偏移为0 ,你的节表头字段中的PointerToRawData为400 这时你的节表数据在文件中的地址就是400这个地址,如下图表示
在这里插入图片描述
这是400地址就是你节表的数据所在的位置,节表在文件中占多大看你在文件中的对齐大小,必须是对齐值的倍数,节表在内存中占多大也看内存对齐值,也必须是对齐值的倍数,对齐值在选项头字段FileAlignment(文件对齐)和SectionAlignment(内存对齐)
在这里插入图片描述

RVA转FA

例如你的RVA=1100,这是看你的RVA属于哪个节,如果RVA>=节表的RVA&&<节表内存大小(记得算对齐值)说明属于这个节,这就说明是属于这个节了,这时候查看这个节在文件中的地址FA,这就可以定位这个RVA在文件中的FA了,如果这个节的FA位400,就可以算出你的FA=500,公式如下

  • 偏移=RVA-节的RVA
  • FOA=偏移+节的FOA 求出的FOA就是你的RVA在文件中的位置(FOA)

VA转FOA

和上面差不多,只是先算出RVA,然后就想RVA转FA

  • RVA=VA=ImageBase(注意如果你的基址不是可选头里面的建议基址,就自己用od查看一下实际基地址)
  • 偏移=RVA-节的RVA
  • FOA=偏移+节的FOA 求出的FA就是你的VA在文件中的位置(FOA)

PE文件加载(映射)进内存结构如下

其他的FA转RVA是一样的这个只要求出偏移,然后加上偏移就可以了,看下面的PE加载进内存的图结构就知道了,图是引用百度的
在这里插入图片描述

导入表

导入表的作用:记录可执行文件或者一个dll(都可以称为PE文件)所用到的其他模块的导函数
导入表记录的信息:用了哪些模块(用了哪些dll),用了dll的哪些函数

导入表结构体定义如下
//最后会以全0的结构为结束,其中每一项是一个结构,一项8个字节,
typedef struct _IMAGE_IMPORT_DESCRIPTOR 
{
    union
    {
        DWORD   Characteristics;            
        DWORD   OriginalFirstThunk; 
    };                  //指向导入函数名,如果为0,则找FirstThunk
    DWORD   TimeDateStamp;           //时间,一般不用      
    DWORD   ForwarderChain;          //链表前一个结构,一般不用            
    DWORD   Name;             // DLL名称的RVA偏移通过偏移可以找到DLL名称
    DWORD   FirstThunk;              // IAT 的RVA偏移.和originalFirstThunk不同,如果地址指向的值为 0,则直接跳过当前轮,加载下一个DLL
    
//IAT结构体类型  
typedef struct _IMAGE_THUNK_DATA32 
{
    //共用体,如果高位大于8则表示这是一个序号,小于8则表示为一个字符串地址RVA,也就是最高一位是否为1
    union 
    {
        PBYTE  ForwarderString;
        PDWORD Function;
        DWORD Ordinal;
        PIMAGE_IMPORT_BY_NAME  AddressOfData;
    } u1;
} IMAGE_THUNK_DATA32;

导入表在PE中的结构如下图在这里插入图片描述

系统加载导入表流程

  • 找到数据目录第2项,跳转到导入表起始地址
  • 遍历模块数组(系统遍历到20个字节的全0结尾,表示模块加载结束),数组每个元素结构_IMAGE_IMPORT_DESCRIPTOR
  • 通过字段OriginalFirstThunk或字段FirstThunk去IAT(导入函数地址表)或INT中获取函数名或序号,然后利用函数LoadLibrary获取模块基址,函数GetProcAddress获取函数的地址覆盖到字段FirstThunk指向的IAT中,这样循环遍历每个模块,把每个模块的导入函数都覆盖到对应模块的IAT中,可以参照上图来理解流程
  • 其实调用api的时候,如果是隐式加载用的就是导入表IAT中存的函数地址,如果是显示加载(GetProcAddress)用的就是导出表的存的函数地址
code_greenhand
关注
专栏目录
PE文件格式总结 - DOS文件头、PE文件头、节详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节详解
PE文件结构-目录项结构
阿Q在行走
03-09 999
目录项结构 数据目录项位于可选PE头的最后一部分,向前四个字节说明了数据目录项的数量,而每个数据目录项的结构一致,分别包含RVA地址和数据项的大小。 IMAGE_DATA_DIRECTORY STRUCT { DWORD VirtualAddress ;数据的起始RVA DWORD isize ;数据块的长度 } 数据目录项通常共有16项,它们的详细说明如下: 英文描述 文描述 ...
PE目录
qq_41232519的博客
10-20 288
文章目录 什么是可执行文件 PE文件的两种状态 DOS部分 PERVA与FOA的转换 代码空白区添加代码 新增节 导出 导入 重定位 读写文件 PE头打印 读取->拉伸->还原 空白区域添加代码 添加节 扩大节 合并节 动态链接 打印导出 移动导出 打印重定位 移动重定位 打印导入 导入注入 ...
PE结构导入
不会写代码的丝丽
03-19 379
首先放一张PE结构 导入放在数据目录数组,所以我们先介绍这个数组相关结构。 首先有4个字节指示这个数组大小,然后再接上数组元素。 每一项数组的结构体 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //内存的虚拟地址 DWORD Size;//大小 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 上面的示意义:的在VirtualAddress内存处大小为
VA&RVA&FOA 转换复习
CSDN
03-24 4957
虚拟地址结束位置:imagebase + .text节尺寸 => 401000 + 0x0007B0DE = 0x47C0DE .text节结束地址。虚拟地址开始位置: imagebase + .text节RVA => 0x400000 + 0x00001000 = 401000。FOA(文件偏移) = RVA + .text节的文件偏移 0x00001000 = 5C485 + 1000 = 5D485。0x400000 + 0x5d485 = 0x45d485 载入 od 验证。
PE文件导入
LX的专栏
09-26 1008
<br />   在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE的文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section ,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .idata 段,等等。文本讲述的是把一个PE文件的导入打印出来。我注意到 MS 提供了一个
PE文件详解五:PE详解之输入导入)详解1
weixin_34192732的博客
01-11 232
首先,我们知道PE 文件数据被载入内存后根据不同页面属性被划分成很多区块(节),并有区块(节)的数据来描述这些区块。这里我们需要注意的问题是:一个区块的数 据仅仅只是由于属性相同而放在一起,并不一定是同一种用途的内容。例如输入、输出等就有可能和只读常量一起被放在同一个区块,因为他们的属性都是可 读不可写的。    其次,由于不同用途的数据有可能被放入同一个区块,因此仅仅依靠区块...
RVA-FOA转换工具
09-29
RVA-FOA转换工具是这类软件开发和分析过程的一个重要辅助工具。 RVA(Relative Virtual Address)是Windows操作系统PE(Portable Executable)文件格式所采用的一种地址示方式。RVA是相对于可执行文件或DLL的...
JIURL PE 格式学习总结(三)-- PE文件的输入函数.docx
12-07
PE文件是Windows操作系统可执行程序的标准格式,它包含了程序运行所需的代码、数据和元信息。本文主要讨论的是PE文件的输入函数,这部分涉及到程序如何调用其他动态链接库(DLL)的函数。 首先,我们需要了解...
JIURL PE 格式学习总结(四)-- PE文件的资源.docx
12-07
总的来说,理解和处理PE文件的资源涉及到对PE文件格式的深入理解,包括节的组织、目录结构和数据的布局。这对于开发、逆向工程和软件调试工作至关重要。通过掌握这些知识,我们可以有效地分析和修改PE文件的资源...
RVA转FOA(RAW)[两种方法]
个人笔记
05-21 519
RVA转FOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找出对应IMAGE_SECTION_HEADER内容 求出该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求出偏移量offset=RVA0-RV
PE目录项之重定位(解析、移动、模拟运作)
qq_35289660的博客
07-03 1545
PE目录项之重定位(解析、移动、模拟运作) 文章目录PE目录项之重定位(解析、移动、模拟运作)0.说明1.解析重定位(1)作用(2)详解2.移动重定位到新建节区3.模拟重定位工作(1)重定位的工作(2)模拟它工作4.C源代码(1)解析重定位(2)移动重定位(3)模拟重定位工作 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水逆向视频总结(部分截图来自于滴水课件) 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:124588
PE文件,导入定位
一个热爱逆向,喜爱学习、分享的猿。
07-05 1524
使用16进制编辑器,在PE文件种定位到导入的过程。
PE目录项之导出(解析、移动)
qq_35289660的博客
06-23 1491
PE目录项之导出 文章目录PE目录项之导出0.说明1.简述导出a.位置b.导出的结构c.导出的工作方式① 根据函数名导出② 根据序号导出函数③ 总结2.解析导出a.注意要点b.源代码3.移动导出所有结构到新建的节区a.移动导出的原因b.大概流程c.注意事项d.源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 欢迎大家留言交流或询问????^ __ ^ 有不懂的直接留言,我必回!???????? 1.简述导出 导出,顾名思义就是要导出的
PE格式----目录----导出
一个热爱逆向,喜爱学习、分享的猿。
05-03 505
PE 文件被执行时,Windows 加载器将文件装入内存并将导入(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件的函数导出信息对被执行文件的IAT 进行修正。 数据目录的第一个成员指向导出,是一个IMAGE_EXPORT_DIRECTORY(以后简称IED)结构: IMAGE_EXPORT_DIRECTORY STRUCT【导出,共40字节】 { +00 h DWORD Characteristics ; 未使用,总是定义为0
PE文件格式数据目录项中的TLS
qq_35426012的博客
11-16 562
TLS(线程句柄存储) TLS地址在数据目录项数组下标为9的位置 TLS结构体定义如下 typedef struct _IMAGE_TLS_DIRECTORY32 { DWORD StartAddressOfRawData;    // TLS初始化数据的起始地址 DWORD EndAddressOfRawData;     // TLS初始化数据的结束地址 两个正好...
逆向学习-PE文件格式
S1lenc3的博客
04-26 173
从DOS头到节区头是PE头部分,其下的节区合称PE体。文件使用偏移(offset),内存使用VA(Virtual Address,虚拟地址)来示位置。文件加载到内存时,情况就会发生变化(节区的大小、位置等)。文件的内容一般可分为代码(.text)、数据(.data)、资源(,rsrc)节,分别保存。 VA指的是进程虚拟内存的绝对地址,RVA(Relative Virtuall A...
a.fa在java意思_PE格式第三讲扩展,VA,RVA,FA的概念
weixin_39955149的博客
03-02 392
作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:)一丶VA概念VA (virtual Address) 虚拟地址的意思 ,比如随便打开一个PE,找下它的虚拟地址 这边都是.二丶模块地址(image Base)模块地址,就是exe加载到内存的时候,所在的地址,比如MZ位置,在那个位置,那么对应模块地址就是这个位置在OD的内...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值