[PE文件结构学习]1.相对虚拟地址(RVA)与物理地址的转换

最新推荐文章于 2022-08-07 16:38:42 发布
最新推荐文章于 2022-08-07 16:38:42 发布
阅读量7.2k 收藏 6
点赞数 4
分类专栏: win32/mfc 文章标签: dos exe table header file 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sryan/article/details/7950950
版权
本文介绍了PE文件结构中的关键概念,如虚拟地址(VA)、相对虚拟地址(RVA)、映像基址(ImageBase)和物理地址(PA),并详细阐述了RVA到PA转换的过程,涉及Dos MZ Header、NT文件头、SECTION TABLE等关键元素。
摘要由CSDN通过智能技术生成

正在学习PE文件结构,本人小菜鸟一个,如有不正确,欢迎指正。

 

PE结构即可执行文件的硬盘存储结构,Windows系统下面有exe dll等格式,PE结构先不介绍了,网上资料很多,看雪的文库里面的资料很好。

 

首先以我个人的理解来解释一下各种概念。

 

1.VA VA即virtual address。解释为虚拟地址,它是经过PE载入器重定位后的在该进程地址空间中能访问到的地址,在调试时候访问一些全局变量,变量的地址即虚拟地址。

 

2.RVA  RVA即Relative virtual address。它是一个虚拟地址,凡是牵扯到虚拟地址的,都是在PE文件被PE载入器映射入内存后的地址,即与内存有关,与在磁盘文件中的存储无关。RVA主要是减轻PE载入器的工作量和方便计算VA而存在的,PE物理文件中的地址基本全都是RVA,RVA是一个偏移地址,是相对于ImageBase的偏移,假如代码段内访问一个RVA为0x00000111的内存单元,那该内存单元的VA即为(实际的)ImageBase + 0x00000111。

 

3.ImageBase ImageBase为映像的基址,PE文件在映射入内存的时候,会载入一个特定的基址,PE文件头中的ImageBase是推荐映射入内存的地址,一般为0x00400000,所有的RVA再根据ImageBase来转换成VA进行正确的内存访问行为。

 

4.物理地址 Physical Address PA  物理地址即该字节在文件中的位置,当然是相对于文件头的偏移位置。

 

在实际情况下,我们常常会遇到将代码段中访问的

最低0.47元/天 解锁文章
碎炎
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
RVA-FOA转换工具
09-29
一个简单的RVA-FOA转换工具。
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 771
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
Windows平台PE文件,内存地址到磁盘地址的转换(RVA to RAW),补丁原理
fw72fw72的博客
11-23 1612
内存地址转换为磁盘地址 计算公式为 RAW = RVA相对虚拟地址) - VirtualAddress(内存中节区起始地址) + PointerToRawData(磁盘文件中节区起始位置) RVA = VA(虚拟地址) - ImageBase(基址) =>RAW = VA - ImageBase - VirtualAddress + PointerToRawData
PE文件RV转FOA及FOA转RVA
weixin_33966365的博客
03-15 188
/************************************************************************/ /* 功能:虚拟内存相对地址和文件偏移的转换 参数:stRVA: 虚拟内存相对偏移地址 lpFileBuf: 文件起始地址 返回:转换后的文件偏移地址 */ /*********************************...
逻辑地址和物理地址的相互转换
热爱编程、热爱生活、热爱探索
04-26 4万+
文章目录逻辑地址和物理地址的相互转换🐳基础概念🐳逻辑地址转换物理地址🐳物理地址转换成逻辑地址 逻辑地址和物理地址的相互转换 注:本文只适用于做题,想更详细了解调度算法相关的知识可以参考这篇文章😄 👉操作系统学习笔记第四章存储管理 🐳基础概念 逻辑地址(Logical Address):在计算机体系结构中是指应用程序角度看到的内存单元(memory cell)、存储单元(storage element)、网络主机(network host)的地址,又叫相对地址。 是在网络层及以上使用的
cvi 解析PE文件获取导出函数表和虚拟地址
09-01
通过解析PE头,我们可以得到每个节的基地址,然后结合导出函数表的相对虚拟地址RVA,Relative Virtual Address)来计算函数的实际虚拟地址。 在Labwindows/CVI中实现这个功能,可以编写以下步骤的代码: 1. 打开...
PE文件结构
wangtiankuo的博客
07-02 507
本文整理自《加密与解密》第10章 一、基本概念基地址:映射文件的起始地址被称为模块句柄,可以通过模块句柄访问内存中其他的数据结构。这个初始内存地址被称为基地址 GetModuleHandle函数返回可执行文件的基地址。 相对虚拟地址RVA):RVA只是内存中的一个简单的相对PE文件装入地址的偏移位置。实际的内存地址被称作虚拟地址(VA)VA=ImageBase+RVA 文件偏移地址:PE文件存...
浅析如何把逻辑地址转换物理地址
热门推荐
三桥君
06-29 6万+
本文只讲逻辑地址转换物理地址的计算方法
操作系统_逻辑地址转换物理地址
哆啦A梦~~
10-22 6万+
存储管理中分为连续存储和非连续存储,非连续存储又分为分页存储、分段存储和段页式存储。 分页存储逻辑地址转物理地址: 例如: 已知某个分页系统,页面大小为1K(即1024字节),某一个作业有4个页面,分别装入到主存的第3、4、6、8块中,求逻辑地址2100对应的物理地址。 解: 第一步:求该逻辑地址的页号 = 2100/1024=2 (整除) 第二步:求它的页内偏移量 = 2100 ...
PE文件结构解析
城南以南花亦开
09-02 1万+
PE(Portable Executable文件,即可移植的可执行文件,是 Windows 操作系统上主流的可执行文件
PE文件地址与内存地址
软件调试的变革
12-14 3088
1.      VC中可以通过#pragmadata_seg()可以将代码中的任意部分编译到PE的任意节中,节名也可以自己定义。如果文件经过了加壳处理,那么PE的节的信息就会变的非常“古怪”。 2.      PE文件地址与VA(virtualAddress)之间的转换文件偏移地址(file offset)文件相对文件开头的偏移 装载基址(image base)PE装入内存时的基地址,
PE文件相对虚拟地址RVA)和文件偏移地址(FOA)的转换
12-27 1万+
RVA相对虚拟地址)和FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的转换,是因为同一个文件在硬盘和内存中的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)和FileAlignment(文
VA
oathevil的专栏
08-03 798
<br /> <br />对于Raw的理解,   习惯上人们喜欢叫它为 "对齐 "了的什么什么,   但是这样反而增加了理解上的难度,   其实它的意思就是文件中的地址或长度.比如: <br />SizeOfRawData           :0x200     ->   表示本节在文件中占了0x200字节 <br />PointerToRawData     :0x400     ->   表示本节在文件中的偏移量是0x400 <br /><br />对于VA和RVA,   表示一个PE文件被加载到内存
PE格式深入浅出之RAV,AV,ImageBase之间的关系
fantcy的专栏
08-23 1万+
破解软件系列-PE格式深入浅出之RAV,AV,ImageBase之间的关系(二)    PE header 的正式命名是 IMAGE_NT_HEADERS。再来回忆一下这个结构。IMAGE_NT_HEADERS STRUCT     Signature dd ?     FileHeader IMAGE_FILE_HEADER     OptionalHeader IMAGE_OP
PE文件与内存中的地址映射关系
Breeze的博客
12-05 8827
PE文件与(虚拟)内存中的地址映射 文件偏移地址 PE文件中的数据的地址,就是在文件内部的地址,也可以理解成在文件系统中相对文件头的偏移地址。在PE文件内部,数据是按数据节存放的,但每一个数据节都是0x200字节的倍数,不足的用0x00补齐。 装载地址(Image Base) PE文件装入内存时的基础地址,一般exe文件在内存中的基址是0x00400000,dll文件时0x1000000...
理解PE文件格式:虚拟地址相对虚拟地址解析
PE文件包含了程序的代码、数据和元数据,其中相对虚拟地址RVA,Relative Virtual Address)和虚拟地址是理解PE文件内存映射的关键概念。RVA是从PE文件的起始位置计算的地址,不考虑文件在磁盘上的物理布局,而虚拟...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值