RVA 转 RAW

最新推荐文章于 2023-09-12 19:00:52 发布
最新推荐文章于 2023-09-12 19:00:52 发布
阅读量274 收藏 1
点赞数
分类专栏: Windows    API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/103630353
版权

直接上源码:

#include<stdio.h>
#include<Windows.h>
int main()
{
	LPCSTR lpFileName="D:\\PyCharm Community Edition 2019.2.4\\bin\\IdeaWin32.dll";
	HANDLE hFile;
	hFile=CreateFileA(lpFileName,GENERIC_READ|GENERIC_WRITE,0,0,OPEN_EXISTING,0,0);
	if(hFile==INVALID_HANDLE_VALUE)
	{
		MessageBoxA(0,"文件打开失败",0,MB_OK);
		return 0;
	}
	DWORD FileSize=GetFileSize(hFile,0);
	BYTE* lpBuffer=new BYTE[FileSize];
	ReadFile(hFile,lpBuffer,FileSize,0,0);
	/*定义DOS头*/
	PIMAGE_DOS_HEADER pDosHeader=(PIMAGE_DOS_HEADER)lpBuffer;
	/*定义NT头*/
	PIMAGE_NT_HEADERS pNtHeader=(PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew+lpBuffer);
	/*定义可选头*/
	PIMAGE_OPTIONAL_HEADER pOptionalHeader=&(pNtHeader->OptionalHeader);
	/*定义文件头*/
	PIMAGE_FILE_HEADER pFileHeader=&(pNtHeader->FileHeader);
	/*获取节表的数量*/
	DWORD SectionNumber=pFileHeader->NumberOfSections;
	/*获取节的位置,方法,从NT头加上整个NT头的大小*/
	PIMAGE_SECTION_HEADER SectionHeader=(PIMAGE_SECTION_HEADER)(pNtHeader+0x18+pFileHeader->SizeOfOptionalHeader);
	/*定位到数据目录表(通过这种方式获取到的是数据目录表的第一个元素也就是导出表),但是通过IMAGE_EXPORT_DIRECTORY* Export=(IMAGE_EXPORT_DIRECTORY*)((BYTE *)pNtHeader+0x78)这种方式得到的是导出表的结构*/
	PIMAGE_DATA_DIRECTORY pDirectory=(PIMAGE_DATA_DIRECTORY)(pOptionalHeader->DataDirectory);
	/*获取导出表的虚拟地址*/
	DWORD ExportRVA=pDirectory->VirtualAddress;//注意这个地址是一个RVA,是数据块的起始RVA
	/*开始进行转换,RVA->RAW 过程中用到的两个参数:第一个(导出表虚拟地址:ExportRVA)第二个(基址:pDosHeader)*/
	/*转换的思路:1、获取节区表的开始的虚拟地址
	2、获取节区表的结束地址
	3、判断要转换的RVA所在节区
	4、利用公式进行计算转换  RAW=RVA-VA+PointToRAW*/
	for(int i=0;i<SectionNumber;i++)
	{
		/*计算当前节区的开始地址*/
		DWORD SectionBegin=SectionHeader[i].VirtualAddress;//区块的RVA地址
		/*计算当前节区的结束地址*/
		DWORD SectionEnd=SectionHeader[i].VirtualAddress+SectionHeader[i].SizeOfRawData;//(这里的大小在实际使用中是区块的起始RVA+区块的大小,但是在实际使用中要考虑到文件的对齐)
		/*判断要求的RVA是否在当前的节区内*/
		if(ExportRVA>SectionBegin&&ExportRVA<SectionEnd)
		{
			/*如果在当前的节区内*/
			DWORD ExportRAW=ExportRVA-SectionBegin+SectionHeader[i].PointerToRawData;
			printf("转换结果:%x",ExportRAW);
		}
	}
}

关于地址转换的题外话:
用CreateFile获取到文件的句柄,之后用ReadFile将文件读取到缓冲区里边,这时候缓冲区里边存储的文件是源文件在磁盘上的格式,并没有按照相应的对齐粒度展开,在遍历导出表的时候,获取的是导出表的RVA和VA(这两个地址都是文件在内存中的地址,也就是按照内存中的对齐粒度对齐之后的地址),如果想要根据获取到的导出表的RVA和VA获取导出表的函数,要将地址进行转换,转换为RAW,也就是文件偏移,之后再到缓冲区里边根据地址进行遍历(因为用ReadFile将文件读取到内存中的时候,文件保持再磁盘上的对齐状态)
在这里插入图片描述

Psy_Hacker
关注
专栏目录
Windows平台PE文件,内存地址到磁盘地址的换(RVA to RAW),补丁原理
fw72fw72的博客
11-23 1612
内存地址换为磁盘地址 计算公式为 RAW = RVA(相对虚拟地址) - VirtualAddress(内存中节区起始地址) + PointerToRawData(磁盘文件中节区起始位置) RVA = VA(虚拟地址) - ImageBase(基址) =>RAW = VA - ImageBase - VirtualAddress + PointerToRawData
《逆向工程核心原理》学习笔记7 UPack加壳
EloflyS的博客
03-01 1275
《逆向工程核心原理》学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE头的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
RVA-FOA换工具
09-29
一个简单的RVA-FOA换工具。
RVAFOA(RAW)[两种方法]
个人笔记
05-21 522
RVAFOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存中该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件中该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找出对应IMAGE_SECTION_HEADER内容 求出该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求出偏移量offset=RVA0-RV
RVA-RAW
qq_46112324的博客
01-29 367
RVA-RAW
RVA to RAW?汇编程序输出PE文件导入/导出表
m0_52196359的博客
11-16 2084
汇编程序输出PE导入表,导出表
RVARAW(文件偏移)的
跃然实验室
06-11 3321
节表和节——RVA和文件偏移的RVA和文件偏移的换的换算法 (1)循环扫描节表并得到每个节在内存中的起始RVA(根据VirtualAddress字段),并根据节的大小(SizeOfRawData字段)算出节的结束RVA,最后比较判断目标RVA是否落在某个节之内。 (2)如果目标RVA处于某个节之内,那么用目标RVA减去节的起始RVA,这样就得到了目标RVA相对于节起始...
RVARAW有什么区别
04-18
RVA (Relative Virtual Address) 是指相对虚拟地址,是相对于模块加载基址的偏移量;RAW (Relative Absolute Address) 是指相对绝对地址...简单来说,RVA 是相对于可执行文件的加载地址,而 RAW 是相对于物理内存地址。
Stud_PE的PE综合工具
10-08
软件名称:Stud_PE 软件版本:2.0.0.1 适用平台:Windows 9x/ME/NT/2000/2003/XP  ... 功能简介:Stud_PE是目前一款很棒的PE综合工具,... 7)RvaRaw;与资源管理器的完美结合…… 总之功能太强大了!强烈推荐!
PE文件格式(二)
周星星的博客
10-20 2301
EAT是一种核心机制,它使不同的应用程序可以调用库文件中提供的函数。也就是说,只有通过EAT才能准确求得从相应库中导出函数的起始地址。
逆向工程核心原理---RVARAW
xuqi7
09-25 640
逆向工程核心原理---RVARAW
[PE结构分析] 7.相对虚拟地址(RVA)和文件偏移间的
weixin_34129145的博客
08-15 523
RVA是相对虚拟地址(Relative Virtual Address)的缩写。RVA是当PE 文件被装载到内存中后,某个数据位置相对于文件头的偏移量。 例如:导入表的位置和大小可以从PE文件头中IMAGE_OPTIONAL_HEADER32结构的数据目录字段中获取,对应的项目是DataDirectory字段的第2个IMAGE_DATA_DIRECTORY结构。从IMAGE_DATA_DIRECT...
VA&RVARVA to RAW
bangren3304的博客
10-23 1284
VA&RVA VA指的是进程虚拟内存的绝对地址,RVA(Relative Virtual Address,相对虚拟地址)指从某个基准位置(ImageBase)开始的相对地址。VA与RVA满足下面的换算关系。 RVA + ImageBase = VA PE(Portable Executable)头部信息大多以RVA形式存在。原因在于,PE文件(主要是DLL(DLL,Dynami...
反汇编学习——RVAtoRAW
最新发布
xiaosusushuai的博客
09-12 75
关于《逆向工程核心原理》中notepad.exe的地址换,在此将思路梳理,并完成练习。计算7604的文件偏移:7604-1000(Imagebase)+400(观察可知,7604位于text区)
0004-PE文件中RVAraw——addr的换.md
ma_de_hao_mei_le的博客
05-26 351
友链 关键就是这个section header 在你解析到section header之前,你是无法正确的将RVA换成disk file的raw addr的 因为你这是还不知道raw addr和虚拟地址的映射关系 一旦读取了这个section header,之后,你就获取到了在内存对齐之后的rvaraw addr的映射关系了 当然,这里的raw addr也是经过了file alignment的,有些扇区的尾部会被填充padding(null) 现在我们来看在optional header中的15个da
RAWRVA
qq_36963214的博客
10-24 1878
前言 本文描述节区RAWRVA之间的的RAW:文件偏移 RVA:相对虚拟地址(是指相对与ImageBase的偏移) 节区数据结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; DWORD SizeOfR
RVA与RWA的关系
weixin_30480583的博客
08-05 376
RVA与RWA的关系 原理比较简单:首先判断这个地址是否在PE头中,如果在,文件偏移和内存偏移相等,如果存在于文件的区段中,则利用以下公式: 内存偏移-该段起始的RVA(VirtualAddress)=文件偏移-该段的PointerToRawData 内存偏移=该段起始的RVA(VirtualAddress)+(文件偏移-该段的Point...
RVARAW相互
GodIand的博客
09-28 2261
E.g: +---------+---------+---------+---------+---------+---------+ |  段名称   虚拟地址  虚拟大小  物理地址  物理大小   标志   | +---------+---------+---------+---------+---------+---------+ |  Name     VOffset    VSi
VA
oathevil的专栏
08-03 801
<br /> <br />对于Raw的理解,   习惯上人们喜欢叫它为 "对齐 "了的什么什么,   但是这样反而增加了理解上的难度,   其实它的意思就是文件中的地址或长度.比如: <br />SizeOfRawData           :0x200     ->   表示本节在文件中占了0x200字节 <br />PointerToRawData     :0x400     ->   表示本节在文件中的偏移量是0x400 <br /><br />对于VA和RVA,   表示一个PE文件被加载到内存
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值