RVA_AND_FOA

已于 2022-09-25 14:46:56 修改
阅读量311 收藏 1
点赞数 1
分类专栏: 滴水三期课后作业 文章标签: c语言 算法
于 2022-08-29 11:31:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363151/article/details/126575899
版权

思路:
RVA To FOA:
1、内存中的地址减去内存基址得到偏移,即RVA。此时RVA在PE头中
2、循环遍历节表中各个节的信息,判断在哪个节中。
3、找出在哪个节后,减去该节在内存中的偏移(VirturalAddress)得到在该节中的相对偏移。
4、该节的相对偏移+该节在文件中的偏移(PointToRawData),即得到FOA

// 代码节选,FOA计算RVA的过程
if(dwRva <= pOptionHeader->SizeOfHeaders){
		return dwRva;
	}else{
		for(int n=0; n < pPEHeader->NumberOfSections; n++, pSectionHeaderTemp++){
			if((dwRva >= pSectionHeaderTemp->VirtualAddress) && (dwRva < (pSectionHeaderTemp->VirtualAddress + pSectionHeaderTemp->Misc.VirtualSize)))
				return dwRva - pSectionHeaderTemp->VirtualAddress + pSectionHeaderTemp->PointerToRawData;
		}
	}

FOA TO RVA:
1、文件中的地址减去文件基址,得到在文件中的偏移,即FOA。同样在头中
2、循环遍历节表中各个节的信息,判断在哪个节中。
3、找出在哪个节后,减去该节在文件中的偏移(PointToRawData)得到在该节中的相对偏移。
4、该节的相对偏移+该节在内存中的偏移(VirtualAddress),即得到RVA。

// 代码节选,RVA计算FOA过程
if(dwFoa <= pOptionHeader->SizeOfHeaders){
		return dwFoa;
	}else{
		for(int i=0; i < pPEHeader->NumberOfSections; i++, pSectionHeaderTemp){
			if((dwFoa >= pSectionHeaderTemp->PointerToRawData) && (dwFoa < (pSectionHeaderTemp->PointerToRawData + pSectionHeaderTemp->SizeOfRawData)))
				return dwFoa - pSectionHeaderTemp->PointerToRawData + pSectionHeaderTemp->VirtualAddress;
		}
	}

完整代码

#include<stdio.h>
#include<windows.h>

DWORD toLoaderPE(LPSTR file_path, PVOID* pFileBuffer){
	FILE *pFile;
	DWORD FileSize = 0;
	PVOID pFileBufferTemp = NULL;

	pFile = fopen(file_path, "rb");
	if(!pFile){
		printf("文件读取失败!\n");
		return 0;
	}
	fseek(pFile, 0, SEEK_END);
	FileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);

	pFileBufferTemp = malloc(FileSize);
	if(!pFileBufferTemp){
		printf("内存分配失败!\n");
		fclose(pFile);
		return 0;
	}

	DWORD n = fread(pFileBufferTemp, FileSize, 1, pFile);
	if(!n){
		printf("读入内存失败!\n");
		free(pFileBufferTemp);
		fclose(pFile);
		return 0;
	}

	*pFileBuffer = pFileBufferTemp;
	pFileBufferTemp = NULL;

	return FileSize;

}

DWORD Rva2Foa(PVOID pFileBuffer, DWORD dwRva){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	if(!pFileBuffer){
		printf("从磁盘读取文件为空!\n");
		return 0;
	}

	if(*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE){
		printf("(Rva2Foa)没有MZ标志!\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	if(*(PDWORD)((DWORD)pDosHeader + pDosHeader->e_lfanew) != IMAGE_NT_SIGNATURE){
		printf("(Rva2Foa)没有PE标志!\n");
		return 0;
	}

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	PIMAGE_SECTION_HEADER pNextSectionHeaderTemp = pSectionHeader + 1;


	if(dwRva <= pOptionHeader->SizeOfHeaders){
		return dwRva;
	}else{
		for(int n=1; n < pPEHeader->NumberOfSections; n++, pSectionHeaderTemp++, pNextSectionHeaderTemp++){
			if((dwRva >= pSectionHeaderTemp->VirtualAddress) && (dwRva < (pNextSectionHeaderTemp->VirtualAddress)))
				return dwRva - pSectionHeaderTemp->VirtualAddress + pSectionHeaderTemp->PointerToRawData;
		}
	}
	if (dwRva >= pSectionHeaderTemp->VirtualAddress && dwRva < pOptionHeader->SizeOfImage)
	{
		return pSectionHeaderTemp->PointerToRawData + dwRva - pSectionHeaderTemp->VirtualAddress;
	}
	printf("RVA TO FOA Failed!\n");

	return 0;
}
DWORD Foa2Rva(PVOID pFileBuffer, DWORD dwFoa){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	if(!pFileBuffer){
		printf("从磁盘读取文件为空!\n");
		return 0;
	}

	if(*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE){
		printf("没有MZ标志!\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	if(*(PDWORD)((DWORD)pDosHeader + pDosHeader->e_lfanew) != IMAGE_NT_SIGNATURE){
		printf("没有PE标志!\n");
		return 0;
	}

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;

	if(dwFoa <= pOptionHeader->SizeOfHeaders){
		return dwFoa;
	}else{
		for(int i=0; i < pPEHeader->NumberOfSections; i++, pSectionHeaderTemp){
			if((dwFoa >= pSectionHeaderTemp->PointerToRawData) && (dwFoa < (pSectionHeaderTemp->PointerToRawData + pSectionHeaderTemp->SizeOfRawData)))
				return dwFoa - pSectionHeaderTemp->PointerToRawData + pSectionHeaderTemp->VirtualAddress;
		}
	}

	return 0;
}

int main(){
	LPSTR file_path = "C:\\Users\\lolol\\Desktop\\geek2.exe";
	PVOID pFileBuffer = NULL;

	DWORD FileSize = toLoaderPE(file_path, &pFileBuffer);
	printf("从磁盘读取文件大小:%x\n", FileSize);

	DWORD RvaToFoa = Rva2Foa(pFileBuffer, 0x001234);
	printf("0x001234 RVA2FOA: %x\n", RvaToFoa);

	DWORD FoaToRva = Foa2Rva(pFileBuffer, 0x001234);
	printf("0x001234 FOA2RVA: %x\n", FoaToRva);
	return 0;
}

计算结果
计算结果

-Sw0rd-
关注
专栏目录
RVA-FOA转换工具
09-29
一个简单的RVA-FOA转换工具。
pe格式从入门到图形化显示(五)-RVAFOA
最新发布
Mrack的博客
04-07 536
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的RVA(相对虚拟地址)和FOA(文件偏移地址)是用于描述文件在内存和磁盘中的位置的概念。RVA是相对于PE文件载入地址的偏移位置,它是一个相对的地址(偏移)。当PE文件在磁盘中时,某个数据位置相对于文件头的偏移量称为文件偏移地址(FOA)。RVA在程序加载到内存时被使用,它指向程序在内存中的虚拟地址。FOA在程序未加载到内存时被使用,它指向程序在磁盘上的文件偏移量。
RVAFOA的转换
weixin_43754657的博客
12-17 1766
RVAFOA的转换
滴水逆向作业——RVAFOA相互转换
weixin_44584614的博客
02-20 2260
PE有两种不同的状态:1.FileBuffer文件状态 2.ImageBuffer内存状态。 当需求为:改变一个变量的值,知道它在内存状态下的地址,我们需要找到他在文件状态下的地址对它进行修改。或者反之,我们知道它在文件状态下的地址、找出他在内存状态下的地址。就需要RVAFOA相互转换。 RVAFOA相互转换主要会使用到节表中的信息,所以我们先需要复习一下节表中的信息。 节表 节表存在于可选P...
7.PE文件之RVAFOA转换
kernelhack
10-27 5128
PE文件头和PE内存映像的文件头大小是一样的.节的数据在内存和磁盘文件的大小是不一样的,节表项记录了内存映像中节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件中的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存中是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE中除去文件头以外的内容,而文件头在磁盘文件中和内存中是没
提取图标 ico 资源
x
08-15 727
待修改 文件中 : 图标头后直接跟图标数据 PE: 图标头跟图标数据分开放, 图标头被放在图标组(对应索引14), 图标数据放在图标资源(索引3) 过程:通过图标组找到各个图标头, 根据图标头的ID再去匹配图标资源中的ID 图标结构: //图标头 struct ICON_DIR { WORD reserved; WORD idtype; //资源类别 . ico为1 WORD idcount; //图标数量 ICON_DIR_ENTRY dir_entry[1]; // 数...
快速查询PE文件知识点和PE文件解析
m0_58089591的博客
05-04 1002
快速查询PE文件知识点和PE文件解析
R0注入Dll到R3进程
墨鱼菜鸡
09-09 561
代码大部分都是CV(ctrl c+ctrl v)的(读书人的事情不能说抄是借鉴),注入参考的是Blackbone的代码,然后稍微改了改,经过测试能够分别注入x32和x64的进程,下面是代码。 原理也很简单,首先是附加到目标进程,获得目标进程的LdrLoadDll函数地址,申请地址空间构造函数call(x32和x64是分布进行构造的),之后获得ssdt表...
滴水三期PE文件格式个人笔记
weixin_73368512的博客
11-30 261
【代码】滴水三期PE文件格式个人笔记。
隐藏模块(无模块注入)
qq_15900895的博客
01-08 1524
隐藏模块(无模块注入)实现 隐藏模块(无模块注入) 代码 // memoryLoad.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "stdlib.h" #include "PeTools.h" DWORD WINAPI InjectEntry(LPVOID lpParam) { //RepairIAT(lpParam); //定义PE头的信息 PIMAGE_DO
【2021.01.14】RVAFOA的转换
oalken的博客
01-14 381
RVAFOA RVA:相对虚拟地址 FOA:文件偏移地址 如果想改变一个全局变量的初始值,该怎么做? 有初始值的全局变量和没有初始值的全局变量是有区别的,没有初始值的全局变量在PE文件中根本没有它的位置。 只有当被文件被载入到内存中以后,才会给其变量分配内存地址存放它的值。 而有初始值的全局变量,它的初始值是存放在PE文件中的。 面临的问题是什么? 知道了全局变量的内存地址后,不能直接拿着该变量的地址去PE文件中搜索,因为在内存中展开的PE文件和在文件中的PE文件它们的对齐方式是不同的。
RVA转换FOA
qq_45694932的博客
07-19 1203
RVA->FOA 已知内存地址adress 1、如果RVA属于头(DOS+NT)那么不需要进行计算了.因为头在文件中根内存中都是一样展开的.直接从开始位置寻找到RVA个字节即可。 2、如果不在头,就要判断在那个节里面. 判断节开始位置.跟结束位置. 我们的RVA在这个值里面. adress-ImageBase-VirtualAddress=该内存地址在该节的相对偏移值 FOA=该内存地址在该节的相对偏移值+PointerTORawDATA FOA->RVA FOA-PointerTORawDAT
RVAFOA的转换
qq_58405021的博客
12-20 1237
RVAFOA的转换
PE文件解析(2):RVAFOA转换和区段表
ylh的博客
10-30 1157
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
PE结构中的VA、RVAFOA
Hello_MyDream的博客
09-14 1074
VA:虚拟内存地址 就是在4G虚拟内存空间中(0x00000000 ~ 0xFFFFFFFF)定位的地址。 RVA:相对虚拟内存地址 从所在模块(dll)基地址开始的地址,即:模块基地址 + RVA = VA FOA:文件偏移地址 它是指某个位置距离文件头的偏移。与内存无关。 ...
PE文件:VA、RVAFOA
weixin_43742894的博客
03-31 5840
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
PE文件学习--RVAFOA转换
KOOKNUT的博客
03-31 1124
当我们的PE文件没有被装载到内存中的时候,它是以什么样的存储方式在磁盘中存储呢?当被装载到内存之后,PE文件的内容又是什么样的光景呢? RVA:相对虚拟地址 FOA:文件偏移地址 今天我们说的重点就是RVAFOA的转换,之前我们已经知道PE文件在磁盘文件中的对齐粒度是0x200,在内存中的对齐粒度是0x1000,我们来看一张《Windows PE权威指南》中的图片: 从上图我们可以看出PE...
PEFOARVA互相转换过程与C语言实现
qq_35289660的博客
05-21 1548
文章目录说明一、FOARVA二、RVA转为FOA1.大致步骤2.特殊情况3.C语言实现函数功能三、FOA转为RVA1.大致步骤2.特殊情况3.C语言实现函数功能 说明 看滴水的视频写学习笔记总结 语言:c/c++ 编译环境:vc++6.0 C语言函数中定义的结构类型来自于头文件windows.h 准确的说,定义的PE的结构体类型的所有数据都来自与头文件winnt.h,只不过windows.h内部声明了winnt.h 一、FOARVA 缩写 英文全称 含义 FOA File Offset
windows PE IMAGE_DIRECTORY_ENTRY_IMPORT
06-04
// -1 if bound, and real date\time stamp in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND) // O.W. date/time stamp of DLL bound to (Old BIND) DWORD ForwarderChain; // -1 if no forwarders DWORD ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值