[PE文件结构学习]1.相对虚拟地址(RVA)与物理地址的转换

最新推荐文章于 2022-10-30 22:40:07 发布
最新推荐文章于 2022-10-30 22:40:07 发布
阅读量7.2k 收藏 6
点赞数 4
分类专栏: win32/mfc 文章标签: dos exe table header file 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sryan/article/details/7950950
版权
本文介绍了PE文件结构中的关键概念,如虚拟地址(VA)、相对虚拟地址(RVA)、映像基址(ImageBase)和物理地址(PA),并详细阐述了RVA到PA转换的过程,涉及Dos MZ Header、NT文件头、SECTION TABLE等关键元素。
摘要由CSDN通过智能技术生成

正在学习PE文件结构,本人小菜鸟一个,如有不正确,欢迎指正。

 

PE结构即可执行文件的硬盘存储结构,Windows系统下面有exe dll等格式,PE结构先不介绍了,网上资料很多,看雪的文库里面的资料很好。

 

首先以我个人的理解来解释一下各种概念。

 

1.VA VA即virtual address。解释为虚拟地址,它是经过PE载入器重定位后的在该进程地址空间中能访问到的地址,在调试时候访问一些全局变量,变量的地址即虚拟地址。

 

2.RVA  RVA即Relative virtual address。它是一个虚拟地址,凡是牵扯到虚拟地址的,都是在PE文件被PE载入器映射入内存后的地址,即与内存有关,与在磁盘文件中的存储无关。RVA主要是减轻PE载入器的工作量和方便计算VA而存在的,PE物理文件中的地址基本全都是RVA,RVA是一个偏移地址,是相对于ImageBase的偏移,假如代码段内访问一个RVA为0x00000111的内存单元,那该内存单元的VA即为(实际的)ImageBase + 0x00000111。

 

3.ImageBase ImageBase为映像的基址,PE文件在映射入内存的时候,会载入一个特定的基址,PE文件头中的ImageBase是推荐映射入内存的地址,一般为0x00400000,所有的RVA再根据ImageBase来转换成VA进行正确的内存访问行为。

 

4.物理地址 Physical Address PA  物理地址即该字节在文件中的位置,当然是相对于文件头的偏移位置。

 

在实际情况下,我们常常会遇到将代码段中访问的

最低0.47元/天 解锁文章
碎炎
关注
专栏目录
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
PE文件结构
wangtiankuo的博客
07-02 514
本文整理自《加密与解密》第10章 一、基本概念基地址:映射文件的起始地址被称为模块句柄,可以通过模块句柄访问内存中其他的数据结构。这个初始内存地址被称为基地址 GetModuleHandle函数返回可执行文件的基地址。 相对虚拟地址RVA):RVA只是内存中的一个简单的相对PE文件装入地址的偏移位置。实际的内存地址被称作虚拟地址(VA)VA=ImageBase+RVA 文件偏移地址:PE文件存...
PE File中取Section,用RVA还是用PointerToRawData?
qiqi5045的专栏
07-11 2551
在Dump PE File的section table时候,一开始选用RVA来计算section的地址,以期望能取到Section信息,后来发现不完全正确,应该用PointerToRawData的值。 如果根据自己定义的内存对齐的值,将FileAlignment和SectionAlignment设为相同的对齐方式,这个时候生成的PE文件RVA和PointerToRawData的值指向同一个
RVA-FOA转换工具
09-29
一个简单的RVA-FOA转换工具。
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 778
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
Windows平台PE文件,内存地址到磁盘地址的转换(RVA to RAW),补丁原理
fw72fw72的博客
11-23 1613
内存地址转换为磁盘地址 计算公式为 RAW = RVA相对虚拟地址) - VirtualAddress(内存中节区起始地址) + PointerToRawData(磁盘文件中节区起始位置) RVA = VA(虚拟地址) - ImageBase(基址) =>RAW = VA - ImageBase - VirtualAddress + PointerToRawData
PE文件RV转FOA及FOA转RVA
weixin_33966365的博客
03-15 189
/************************************************************************/ /* 功能:虚拟内存相对地址和文件偏移的转换 参数:stRVA: 虚拟内存相对偏移地址 lpFileBuf: 文件起始地址 返回:转换后的文件偏移地址 */ /*********************************...
PE文件解析(2):RVA与FOA转换和区段表
最新发布
ylh的博客
10-30 1108
PE文件相对虚拟地址PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
cvi 解析PE文件获取导出函数表和虚拟地址
09-01
通过解析PE头,我们可以得到每个节的基地址,然后结合导出函数表的相对虚拟地址RVA,Relative Virtual Address)来计算函数的实际虚拟地址。 在Labwindows/CVI中实现这个功能,可以编写以下步骤的代码: 1. 打开...
PE文件格式学习
qin_code的博客
04-08 4735
目录 IMAGE_DOS_HEADER_STRUCT e_lfanew IMAGE_NT_HEADER Signature IMAGE_FILE_HEADER Machine NumberOfSections TimeDateStamp PointerToSymbolTable &NumberOfSymbols SizeOfOptionalHeader Characteristics IMAGE_OPTIONAL_HEADER Magic MajorLinkerV...
逻辑地址 与物理地址转换
热门推荐
u014797790的博客
08-24 3万+
逻辑地址=页号+页内地址=p+d; 物理地址=块号+页内地址=f+d; (两个d是一样的,页表中存储有p与f的对应关系)   地址总长度位数=页号占位数m+页内地址占位数n    逻辑地址中的页数=2^m         (2的 页号位数 次幂)   一个页面(业内地址)大小= 2^n       (2的 页内地址位数 次幂)     1、求物理地址(绝对地址)长度 题目:在某个...
内存偏移(RVA)与文件偏移(offset)相互转换
SauceJ的专栏
09-19 3965
写此文源于前一阵写一个PE修改工具,需要用到内存偏移向文件偏移转化。
RAW与RVA
qq_36963214的博客
10-24 1881
前言 本文描述节区RAW与RVA之间的的转换 RAW:文件偏移 RVA相对虚拟地址(是指相对与ImageBase的偏移) 节区数据结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; DWORD SizeOfR
【13】virtual address、physical address、bus address
linjiasen的博客
02-18 1101
https://www.kernel.org/doc/Documentation/bus-virt-phys-mapping.txt https://www.kernel.org/doc/Documentation/DMA-API-HOWTO.txt
节表(40字节)
qq_51600802的博客
10-27 487
节表:相当于这本书的目录{");puts("申请失败");if(!n){printf(" 读取数据失败!");}}{{printf("不是有效的MZ标志\n");return;}printf("********************DOC头********************\n");printf("MZ标志:%x\n",pDosHeader->e_magic);
《逆向工程核心原理》学习笔记(二):PE文件
闵行小鱼塘
12-24 1673
继续学习《逆向工程核心原理》,本篇笔记是第二部分:PE文件格式,包括PE文件、运行时压缩、重定位、UPack、内嵌补丁等内容
windows PE Image 文件分析(2)--- .text 节
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-11 4137
在上一篇文章:http://www.mouseos.com/windows/PE_image1.html 介绍 helloworld.exe 映像的 section 表内容,section 表指出每个映像中每个 section 的信息,包括:section 的 RVA,Size,Raw 数据位置和大小等。接下来深入了解 .text 节内容 域 .textbss 节
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值