RVA转换FOA

最新推荐文章于 2022-10-30 22:40:07 发布
最新推荐文章于 2022-10-30 22:40:07 发布
阅读量1.1k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45694932/article/details/107451230
版权

RVA->FOA

已知内存地址adress
1、如果RVA属于头(DOS+NT)那么不需要进行计算了.因为头在文件中根内存中都是一样展开的.直接从开始位置寻找到RVA个字节即可。
2、如果不在头,就要判断在那个节里面. 判断节开始位置.跟结束位置. 我们的RVA在这个值里面.
adress-ImageBase-VirtualAddress=该内存地址在该节的相对偏移值
FOA=该内存地址在该节的相对偏移值+PointerTORawDATA

FOA->RVA
FOA-PointerTORawDATA=该文件地址在该节的相对偏移
RVA=该文件地址在该节的相对偏移+VirtualAdress

#define _CRT_SECURE_NO_WARNINGS
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>
#include<malloc.h>
DWORD address = 0x1009086;
void* readfile() {
	FILE* filebuffer = NULL;
	filebuffer = fopen("C:\\Users\\42435\\Desktop\\notepad.exe", "rb");
	if (!filebuffer) {
		printf("打开动态内存失败");
	}
	int num = 0;
	fseek(filebuffer, 0, SEEK_END);
	num = ftell(filebuffer);
	fseek(filebuffer, 0, SEEK_SET);
	LPVOID fp = NULL;
	fp =malloc(num);
	if (!fp) {
		printf("申请动态内存失败"); 
	}
	memset(fp, 0, num);
	size_t n=fread(fp, num, 1, filebuffer);
	if (!n) {
		printf("数据读取到内存失败\n");
	}
	fclose(filebuffer);
	return fp;
}
int PE() {
	void* fp = readfile();
	PIMAGE_DOS_HEADER dosheader = NULL;
	PIMAGE_NT_HEADERS NTheader = NULL;
	PIMAGE_FILE_HEADER PEheader = NULL;
	PIMAGE_OPTIONAL_HEADER opheader = NULL;
	PIMAGE_SECTION_HEADER secheader = NULL;
	dosheader = PIMAGE_DOS_HEADER(fp); 
	if (*((PWORD)fp) != IMAGE_DOS_SIGNATURE)  
	{
		printf("不含MZ标志,不是exe文件!\n");
		return 0;
	}
	
		
	NTheader = (PIMAGE_NT_HEADERS)((DWORD)fp + dosheader->e_lfanew);
	PEheader = (PIMAGE_FILE_HEADER)((DWORD)NTheader + 4); // 这里必须强制类型转换
	opheader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)PEheader + IMAGE_SIZEOF_FILE_HEADER);
	secheader = (PIMAGE_SECTION_HEADER)((DWORD)opheader + PEheader->SizeOfOptionalHeader);

	int RVA =address-opheader->ImageBase;
	printf("%x\n", RVA);
	int FOA = 0;
	PIMAGE_SECTION_HEADER tempsecheader = secheader;
	for (int i = 0; i < PEheader->NumberOfSections; i++,tempsecheader++) {
		if((RVA>tempsecheader->VirtualAddress)&&(RVA<tempsecheader->VirtualAddress+tempsecheader->Misc.VirtualSize))
		{
			FOA = RVA - tempsecheader->VirtualAddress + tempsecheader->PointerToRawData;
			break;
		}
	}
	return FOA;
	
}
int main() {
	int FOA = PE();
	
	printf("%x", FOA);
	return 0;
}
cop_g
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件学习--RVAFOA转换
KOOKNUT的博客
03-31 1050
当我们的PE文件没有被装载到内存中的时候,它是以什么样的存储方式在磁盘中存储呢?当被装载到内存之后,PE文件的内容又是什么样的光景呢? RVA:相对虚拟地址 FOA:文件偏移地址 今天我们说的重点就是RVAFOA转换,之前我们已经知道PE文件在磁盘文件中的对齐粒度是0x200,在内存中的对齐粒度是0x1000,我们来看一张《Windows PE权威指南》中的图片: 从上图我们可以看出PE...
滴水逆向——RVAFOA相互转换
sunr.
04-07 3148
(开始这段别人总结的比较好,我就拿来用了) 1.RVA2FOA 即我们现在知道内存状态下的偏移,需要找到文件状态下的偏移。 步骤如下图: step1:内存中的地址减去内存基址得到偏移,即RVA。 step2:循环遍历节表中各个节的信息,判断在哪个节中。(需要满足:内存偏移+节数据没对齐的大小>image_panyi>内存偏移) step3:找出在哪个节后,减去该节在内存中的偏移...
RVAFOA转换
weixin_43754657的博客
12-17 1363
RVAFOA转换
RVAFOA转换
qq_58405021的博客
12-20 1068
RVAFOA转换
VA&RVA&FOA 转换复习
CSDN
03-24 4907
虚拟地址结束位置:imagebase + .text节尺寸 => 401000 + 0x0007B0DE = 0x47C0DE .text节结束地址。虚拟地址开始位置: imagebase + .text节RVA => 0x400000 + 0x00001000 = 401000。FOA(文件偏移) = RVA + .text节的文件偏移 0x00001000 = 5C485 + 1000 = 5D485。0x400000 + 0x5d485 = 0x45d485 载入 od 验证。
7.PE文件之RVAFOA转换
kernelhack
10-27 4768
PE文件头和PE内存映像的文件头大小是一样的.节的数据在内存和磁盘文件的大小是不一样的,节表项记录了内存映像中节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件中的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存中是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE中除去文件头以外的内容,而文件头在磁盘文件中和内存中是没
滴水逆向作业——RVAFOA相互转换
weixin_44584614的博客
02-20 2111
PE有两种不同的状态:1.FileBuffer文件状态 2.ImageBuffer内存状态。 当需求为:改变一个变量的值,知道它在内存状态下的地址,我们需要找到他在文件状态下的地址对它进行修改。或者反之,我们知道它在文件状态下的地址、找出他在内存状态下的地址。就需要RVAFOA相互转换RVAFOA相互转换主要会使用到节表中的信息,所以我们先需要复习一下节表中的信息。 节表 节表存在于可选P...
PE文件解析(2):RVAFOA转换和区段表
ylh的博客
10-30 1037
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
RVAFOA(RAW)[两种方法]
个人笔记
05-21 472
RVAFOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存中该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件中该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找出对应IMAGE_SECTION_HEADER内容 求出该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求出偏移量offset=RVA0-RV
RVA-FOA转换工具
09-29
一个简单的RVA-FOA转换工具。
RVA:RNAseq可视化自动化
05-22
RNAseq可视化自动化RNAseq可视化自动化安装RVA install.packages( " RVA " ) 装入包装以供使用library( RVA )加载示例数据让我们加载一个摘要统计表,并将它们组合到一个名为d1的列表中。 df <- RVA :: Sample_...
PM50RVA120
07-11
三菱IPM模块PM50RVA120数据手册
RVA:储层可视化与分析
05-11
RVA 储层可视化与分析
国标优质籼稻的稻米品质与淀粉RVA谱特征研究 (2015年)
05-23
[方法]以广东省最近育成的水稻品种粤晶丝苗2号等为研究材料,对稻米碾磨品质、外观品质、蒸煮食味品质、营养品质和淀粉RVA谱进行了测定和相关分析。[结果和结论]国标优质籼稻具有整精米率较高、粒型窄长、腹心白少、...
STM32H562实现FreeRTOS内存管理【支持STM32H系列单片机】.zip
最新发布
06-03
STM32H562 FreeRTOS驱动程序,支持STM32H系列单片机。 项目代码可直接运行~
恶魔轮盘.cpp
06-03
恶魔轮盘
基于C++&OPENCV 的全景图像拼接.zip
06-03
基于C++&OPENCV 的全景图像拼接 C++是一种广泛使用的编程语言,它是由Bjarne Stroustrup于1979年在新泽西州美利山贝尔实验室开始设计开发的。C++是C语言的扩展,旨在提供更强大的编程能力,包括面向对象编程和泛型编程的支持。C++支持数据封装、继承和多态等面向对象编程的特性和泛型编程的模板,以及丰富的标准库,提供了大量的数据结构和算法,极大地提高了开发效率。12 C++是一种静态类型的、编译式的、通用的、大小写敏感的编程语言,它综合了高级语言和低级语言的特点。C++的语法与C语言非常相似,但增加了许多面向对象编程的特性,如类、对象、封装、继承和多态等。这使得C++既保持了C语言的低级特性,如直接访问硬件的能力,又提供了高级语言的特性,如数据封装和代码重用。13 C++的应用领域非常广泛,包括但不限于教育、系统开发、游戏开发、嵌入式系统、工业和商业应用、科研和高性能计算等领域。在教育领域,C++因其结构化和面向对象的特性,常被选为计算机科学和工程专业的入门编程语言。在系统开发领域,C++因其高效性和灵活性,经常被作为开发语言。游戏开发领域中,C++由于其高效性和广泛应用,在开发高性能游戏和游戏引擎中扮演着重要角色。在嵌入式系统领域,C++的高效和灵活性使其成为理想选择。此外,C++还广泛应用于桌面应用、Web浏览器、操作系统、编译器、媒体应用程序、数据库引擎、医疗工程和机器人等领域。16 学习C++的关键是理解其核心概念和编程风格,而不是过于深入技术细节。C++支持多种编程风格,每种风格都能有效地保证运行时间效率和空间效率。因此,无论是初学者还是经验丰富的程序员,都可以通过C++来设计和实现新系统或维护旧系统。3
SDIO接口远距离无线图传WIFI6模块TT-S6D2TR-105HP
06-03
SDIO接口HI1105远距离无线图传WIFI6模块TT-S6D2TR-105HP
RVA和RAW有什么区别
04-18
RVA (Relative Virtual Address) 是指相对虚拟地址,是相对于模块加载基址的偏移量;RAW (Relative Absolute Address) 是指相对绝对地址,是相对于物理内存地址的偏移量。简单来说,RVA 是相对于可执行文件的加载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值