从内存偏移转换到文件偏移

最新推荐文章于 2023-06-27 09:23:35 发布
最新推荐文章于 2023-06-27 09:23:35 发布
阅读量446 收藏
点赞数
文章标签: c++ 矩阵 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41610493/article/details/122559702
版权

/************************************

  • 函数:RVAToFOA

  • 说明:从内存偏移转换到文件偏移

  • ***********************************/
    BOOL PE::RVAToFOA(DWORD RVA,DWORD &FOA,BOOL IsEnableLog)
    {
    /

    • 计算公式:
    •     	    1. 先计算出此RVA 属于那个节
  		2. 该节与文件节的差值k
  		3. RVA - 差 = FOA

    */
    if (IsEnableLog)
    {
    TRACEEX("\n----RVA信息----\n");
    }

    DWORD min = m_vec_section.begin()->second->VirtualAddress;
    DWORD max = (m_vec_section.end()-1) ->second->VirtualAddress;
    string max_name = (char*)(m_vec_section.end() - 1)->second->Name;
    DWORD max_size = (m_vec_section.end() - 1)->second->Misc.VirtualSize;
    DWORD max_foa = (m_vec_section.end() - 1)->second->PointerToRawData;
    if (RVA < min || RVA > max)
    {
    if (IsEnableLog)
    {
    TRACEEX(“RVA范围错误!\n”);
    TRACEEX("-------------\n\n");
    }
    return FALSE;
    }
    else
    {
    //这里直接判断掉是否属于最后一个节,方便后面vector的遍历了.
    if (RVA >= max && RVA <= (max+ max_size))
    {

      	//根据公式计算
  	int k = max - max_foa;
  	FOA = RVA - k;
  	if (IsEnableLog)
  	{
  		TRACEEX("隶属于(%s)节,RVA=0x%08X,FOA=0x%08X\n", max_name.c_str(), max, max_foa);
  		TRACEEX("当前文件偏移:[0x%08X]\n", FOA);
  		TRACEEX("-------------\n\n");
  	}
  	return TRUE;
  }

    }
    //遍历属于哪个节,因为最后一个节已经判断过了,所以可以直接排除掉最后一个节.
    string BelongToSectionName;
    int Currentflag;
    for (vector<pair<string, PIMAGE_SECTION_HEADER>>::iterator iter = m_vec_section.begin(); iter != m_vec_section.end()-1; iter++)
    {
    DWORD address = iter->second->VirtualAddress;
    DWORD address_foa = iter->second->PointerToRawData;
    if (RVA >= address && RVA < (iter+1)->second->VirtualAddress)
    {
    //根据公式计算
    int k = address - address_foa;
    FOA = RVA - k;
    if (IsEnableLog)
    {
    TRACEEX(“隶属于(%s)节,RVA=0x%08X,FOA=0x%08X\n”, iter->second->Name, address, address_foa);
    TRACEEX(“当前文件偏移:[0x%08X]\n”, FOA);
    TRACEEX("-------------\n\n");
    }
    return TRUE;
    }
    }
    return TRUE;
    //接下来进行判断 属于哪个节. 输入的RVA:0x000b447c
    //(.text)节 RVA : 0x00001000, FOA : 0x00000600, 差值(K) = 0x00000A00(2560)
    //(.data)节 RVA : 0x0009E000, FOA : 0x0009D600, 差值(K) = 0x00000A00(2560)
    //(.rdata)节RVA : 0x000A0000, FOA : 0x0009F400, 差值(K) = 0x00000C00(3072)
    //(.bss)节 RVA : 0x000B3000, FOA : 0x00000000, 差值(K) = 0x000B3000(733184)
    //(.edata)节RVA : 0x000B4000, FOA : 0x000B1E00, 差值(K) = 0x00002200(8704)
    //(.idata)节RVA : 0x000B7000, FOA : 0x000B4200, 差值(K) = 0x00002E00(11776)
    //(.CRT)节 RVA : 0x000B8000, FOA : 0x000B5000, 差值(K) = 0x00003000(12288)
    //(.tls)节 RVA : 0x000B9000, FOA : 0x000B5200, 差值(K) = 0x00003E00(15872)
    //(.rsrc)节 RVA : 0x000BA000, FOA : 0x000B5400, 差值(K) = 0x00004C00(19456)
    //(.reloc)节RVA : 0x000BB000, FOA : 0x000B5A00, 差值(K) = 0x00005600(22016)
    //(/ 4)节 RVA : 0x000BF000, FOA : 0x000B9000, 差值(K) = 0x00006000(24576)
    //(/ 19)节 RVA : 0x000C0000, FOA : 0x000B9400, 差值(K) = 0x00006C00(27648)
    //(/ 31)节 RVA : 0x000CA000, FOA : 0x000C2E00, 差值(K) = 0x00007200(29184)
    //(/ 45)节 RVA : 0x000CC000, FOA : 0x000C4A00, 差值(K) = 0x00007600(30208)
    //(/ 57)节 RVA : 0x000CE000, FOA : 0x000C6600, 差值(K) = 0x00007A00(31232)
    //(/ 70)节 RVA : 0x000CF000, FOA : 0x000C7000, 差值(K) = 0x00008000(32768)
    //(/ 81)节 RVA : 0x000D0000, FOA : 0x000C7400, 差值(K) = 0x00008C00(35840)
    //(/ 92)节 RVA : 0x000D2000, FOA : 0x000C9200, 差值(K) = 0x00008E00(36352)
    }

华阙之梦
关注
RvaToFileOffset 内存偏移转成文件偏移(滴水课后作业)
hambaga的博客
05-10 687
题目说明 将内存偏移RVA转成文件偏移FOA的函数; 思路是遍历节表,比较节内存偏移VirtualAddress和RVA,确定RVA所在的节之后,计算RVA距离所在节首地址的偏移offset,然后返回offset+PointerToRawData. 以xp的notepad.exe为例 .text节的文件偏移是400h,内存偏移是1000h,调用函数结果如下: printf("%x\n", RvaToFileOffset(pFileBuffer, 0x1000)); 函数源码 // 内存偏移RVA转成文
偏移转换工具,将文件偏移转换内存偏移
08-13
用OD做免杀时要先将定位出来的特征码地址进行转换才能载入OD
文件偏移内存偏移
weixin_30542079的博客
11-12 265
sectionalignment和FileAlignment 内存中块大小和文件中块大小 参考: http://bbs.pediy.com/showthread.php?s=&threadid=18022 转载于:https://www.cnblogs.com/predator-wang/p/4958401.html...
实现虚拟内存地址到文件偏移地址的转换
as you know, nlp is fantasitc!
03-23 710
写在前面:这是一次实践作业,用c来写似乎好写一点,但我比较熟悉python,也找到了python相关的库,就用python来实现下,用一晚上把前天写的代码变成了图形化界面,自学过程中,学到了许多东西,也把很多学过的都实践了一遍 目标: 实现过程: 原理 上课老师讲了原理,其实很好懂,主要是PE文件的结构我不太熟悉,一直反复看,贴下原理吧 实现思路 1、找python有没有操作 pe 相关的库,有一篇参考文章 ,pefile库可以来完成这次的作业 2、找到相关的变量 ImageBase(基址) Virt
内存偏移
weixin_34115824的博客
04-18 295
1 #include "stdafx.h" 2 3 class A 4 { 5 public: 6 A(){m_a = 1; m_b = 2;} 7 void fun(){printf("%d %d\n", m_a, m_b);} 8 private: 9 int m_a; 10 int m_b; 11 }; 12 ...
偏移转换偏移转换
04-22
在IT领域,偏移转换器是一种工具,主要用于处理数据或指令在内存中的位置问题。它在编程、逆向工程和安全分析中具有重要应用。偏移转换器的主要功能是将相对于某一基地址的偏移转换为绝对地址,或者反之,帮助...
精简的文件编译器(文件偏移内存地址相互转换)
06-19
虽然这不是直接的文件偏移内存地址转换,但它是理解内存管理的关键。 在“偏移转换器”这个子文件中,我们可以期待找到实现这些功能的算法和接口,以及可能的用户界面,让用户能够输入文件偏移并得到对应的内存...
偏移地址转换内存地址
11-30
本软件是将文件偏移地址转换成为内存地址,适合于修改文件
偏移转换器OC_37145
12-25
OC_37145这款工具可能允许用户将一个偏移量从一个环境转换到另一个环境,比如从32位系统到64位系统,或者在不同的编程语言之间进行转换。这在调试、逆向工程、游戏修改(如作弊引擎)以及系统级编程中非常有用。转换...
PE内存偏移文件偏移相互转换
Leo的专栏
03-23 2972
写此文源于前一阵写一个PE修改工具,需要用到内存偏移文件偏移转化。想着这种简单的代码网上应该一大把,百度了一下,没找到。又google,又没找到,可能是自己搜索的功力太不到家了。着急用,只好自己写了一个函数用来转换。相信很多人做PE开发的时候都会有这个需求,把这个函数贴出来供大家参考,大牛莫耻笑。原理比较简单:首先判断这个地址是否在PE头中,如果在,文件偏移内存偏移相等,如果存在于文件的区段中
RVA-FOA转换工具
09-29
一个简单的RVA-FOA转换工具。
类的内存偏移
h934070878的专栏
08-19 579
一道面试宝典中的题目,直接上代码: #include using namespace std; class A { public: A() { x=1;y=2; } void print() {cout" "<<y<<endl;} int x; int y; }; class B { public: B() { x=3; } void print() {
面试---内存偏移
爱橙子的OK绷的专栏
09-27 2877
下面程序中pb->func();的输出结果?#include <iostream> #include<stdio.h> using namespace std; class M { public: M() {a = 1; b = 2;}; ~M() {}; void func() { cout<<a<<" "<<b<<endl; } //pri
指针内存偏移
yinhua405的博客
05-03 637
void test24() {         class A         {                 public:                 A() {m_a=1,m_b=2;}                 ~A(){};                 void fun(){printf("%d %d\n",m_a,m_b);}         //  
内存偏移(RVA)与文件偏移(offset)相互转换
SauceJ的专栏
09-19 4038
写此文源于前一阵写一个PE修改工具,需要用到内存偏移文件偏移转化。
内存对齐计算方法(偏移量)
小洁洁
02-11 1846
1.1第一个成员的地址在结构体变量偏移量为0的地址处。1.2其中对齐数=编译器默认的一个对齐数与该成员大小的较小值。(vs默认为8)1.3其他成员变量依次要按照对齐数的整数倍的地址处来存放。1.4结构体总体的大小要为最大对齐数的整倍数。(每一个成员变量都有自己的对齐数,与1.3描述的对象不一样)1.5如果一个结构体里面包含一个结构体,把其看作一个成员就行(但其整体对齐数不能看作一个对齐数来比是否为最大对齐数)。
驱动开发:内核读写内存多级偏移
最新发布
CSDN
06-27 5196
让我们继续在`《内核读写内存浮点数》`的基础之上做一个简单的延申,如何实现多级偏移读写,其实很简单,读写函数无需改变,只是在读写之前提前做好计算工作,以此来得到一个内存偏移值,并通过调用内存写入原函数实现写出数据的目的。 以读取偏移内存为例,如下代码同样来源于本人的`LyMemory`读写驱动项目,其中核心函数为`WIN10_ReadDeviationIntMemory()`该函数的主要作用是通过用户传入的基地址与偏移值,动态计算出当前的动态地址。
RVA到FOA的转换
qq_58405021的博客
12-20 1234
RVA到FOA的转换
PE文件:(2)VA、RVA和FileOffset的理解
weixin_43972499的博客
04-06 1691
PE文件基本概念文件对齐和内存对齐RVA和FileOffsetVA及重定向的概念 基本概念   在PE文件的学习中,我们经常看到RVA,VA,文件偏移内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
关于文件偏移地址和虚拟内存地址的计算
05-24
文件偏移地址和虚拟内存地址都是计算机中用于寻址的地址。它们之间的关系取决于操作系统中所使用的文件系统和内存管理机制。 在文件系统中,文件偏移地址是指文件中数据的起始位置与文件开头之间的距离。文件偏移...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值