windows PE文件格式笔记(二)RVAToFOV

最新推荐文章于 2022-05-04 10:15:39 发布
最新推荐文章于 2022-05-04 10:15:39 发布
阅读量770 收藏
点赞数
分类专栏: WINDOWS PE文件格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011642058/article/details/111035656
版权

什么是RVA,FOV

RVA是相对虚拟地址,FOV是文件偏移

由于PE文件在磁盘上和在内存中的对齐粒度不同,会导致同一个PE文件在磁盘上和在内存中有两个不同的偏移,即,FOV和RVA.

在PE格式中查看对齐粒度

PE文件在磁盘和在内存的对齐粒度分别为: FileAlignment 和SectionAlignment

他们在PE扩展头中可以找到,PE扩展头的结构体:

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment; //内存对齐粒度
    DWORD   FileAlignment; //文件对齐粒度
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

FileAlignment一般是磁盘一个物理扇区的大小,512字节,即:0x200;

SectionAlignment的大小一般为0x1000,也就是win32中一个页的大小(4KB);

这两个值由链接器填写,SectionAlignment必须大于等于FileAlignment,在高版本的链接器中,SectionAlignment可能与FileAlignment相等,就无需进行RVA和FOV的转换了。

RVA转FOV

在解析PE文件时,经常会用到RAV与FOV的转换,

在RVA转FOV有以下几个步骤:

1.判断指定RVA落在哪个节区内。

2.获取该节区在内存中的虚拟地址,即:IMAGE_SECTION_HEADER.VirtualAddress

3.求出offset=指定RVA-IMAGE_SECTION_HEADER.VirtualAddress

4.得到FOV=offset+IMAGE_SECTION_HEADER.PointerToRaw(在文件中的起始地址)

可以通过IMAGE_FILE_HEADER+SizeOfOptionalHeader得到IMAGE_SECTION_HEADER地址,在IMAGE_FILE_HEADER得到NumberOfSections

具体转换代码:

ULONG RVAToFOV(PIMAGE_SECTION_HEADER pSectionHeader, ULONG NumberOfSections, ULONG RVA)
{
	for (int i = 0; i < NumberOfSections; i++)
	{
		if (pSectionHeader->VirtualAddress <= RVA && RVA <= pSectionHeader->VirtualAddress + pSectionHeader->SizeOfRawData)
		{
			return RVA - pSectionHeader->VirtualAddress + pSectionHeader->PointerToRawData;
		}
		pSectionHeader++;
	}
	return 0;
}
非著名不专业Re选手
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件的相对虚拟地址(RVA)和文件偏移地址(FOA)的
12-27 1万+
RVA(相对虚拟地址)和FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的换,是因为同一个文件在硬盘和内存中的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)和FileAlignment(文
PE文件中RVA和Offset的
Hop的专栏
02-08 2057
在个人操作PE文件中,时常会用到RVA到Offset的换。没有更好的算法了,这里是最笨的方法,不过也只能这样了。主要思想是:判断一个RVA值在那个节中,然后用这个节的虚拟地址减去物理地址,得到偏移。然后用输入的RVA减去这个偏移就可以了,同理我们也可以使用相同的方法到物理偏移。函数实现:RVA2OffsetPIMAGE_SECTION_HEADER ImageRVA2Section(PI
秦万强PE文件学习笔记.pdf
06-06
秦万强PE文件学习笔记.pdf
小甲鱼PE详解之区块描述、对齐值以及RVA详解(PE详解06)
07-29 3708
上一讲:小甲鱼PE详解之区块表(节表)和区块(节)续各种区块的描述:很多朋友喜欢听小甲鱼的PE详解,因为他们觉得课堂上老师讲解的都是略略带过,绕得大家云里雾里~刚好小甲鱼文采也没课堂上的教授讲的那么好,只能以比较通俗的话语来给大家描述~通常,区块中的数据在逻辑上是关联的。PE
RVA换FOA
qq_45694932的博客
07-19 1160
RVA->FOA 已知内存地址adress 1、如果RVA属于头(DOS+NT)那么不需要进行计算了.因为头在文件中根内存中都是一样展开的.直接从开始位置寻找到RVA个字节即可。 2、如果不在头,就要判断在那个节里面. 判断节开始位置.跟结束位置. 我们的RVA在这个值里面. adress-ImageBase-VirtualAddress=该内存地址在该节的相对偏移值 FOA=该内存地址在该节的相对偏移值+PointerTORawDATA FOA->RVA FOA-PointerTORawDAT
RVA与FOA的
weixin_43754657的博客
12-17 1396
RVA与FOA的
RvaToOffset 函数实现
B_H_L的专栏
04-03 1737
DWORD RvaToOffset(PBYTE pMapping, DWORD dwRva) { IMAGE_DOS_HEADER *pidh = (IMAGE_DOS_HEADER *)pMapping; IMAGE_NT_HEADERS *pinh = (IMAGE_NT_HEADERS *)(pMapping + pidh->e_lfanew);
PE对齐粒度
跃然实验室
06-10 1576
按照内存对齐粒度读取到内存,不足的用0填充。 文件对齐粒度 200 内存对齐粒度 1000 对齐后的大小 //以dwAlignment 对齐dwOperateNum 值,也就是让dwOperateNum为dwAlignment的整数倍 DWORD AlignmentNum(DWORD dwOperateNum, DWORD dwAlignment ) { ...
PE文件结构学习笔记.mht
03-28
PE文件结构学习笔记.mht
Mindbox笔记软件windows系统版
09-13
Mindbox,一款全平台可用的知识管理软件,其采用树状文件夹目录结构,在文件夹中随意地加入笔记、思维导图、链接剪藏、图片组等多样性的内容模块,搭配结构条理清晰的文件夹目录,轻松地构建自己的知识素材库。...
Notion windows系统版笔记软件
09-13
Notion 是一款“重新定义数字笔记”的出色全能知识管理软件。它整合了笔记/日记、知识库、Markdown 编辑器、任务待办、日历、看板/项目管理等功能于一身,可以完美替代多款工具。它支持个人或团队协作,并且用户体验...
计算机级python自学笔记PDF
08-24
文件操作也是Python的重要组成部分,笔记会涵盖文件的打开、读写、关闭,以及处理文本文件和进制文件的方法。同时,正则表达式的学习对于数据处理和解析非常实用,笔记中应该会有相关介绍。 除此之外,笔记可能还...
PE格式深入浅出之RAV,AV,ImageBase之间的关系
热门推荐
fantcy的专栏
08-23 1万+
破解软件系列-PE格式深入浅出之RAV,AV,ImageBase之间的关系()    PE header 的正式命名是 IMAGE_NT_HEADERS。再来回忆一下这个结构。IMAGE_NT_HEADERS STRUCT     Signature dd ?     FileHeader IMAGE_FILE_HEADER     OptionalHeader IMAGE_OP
pe文件对齐
goat_2003的博客
06-08 3943
内存对齐与文件对齐 一个pe文件无论在磁盘和内存中存放都会进行对齐,但他们的对齐值会不相同。 PE 文件头里边的FileAligment 定义了磁盘区块的对齐值。每一个区块从对齐值的倍数的偏移位置开始存放。而区块的实际代码或数据的大小不一定刚好是这么多,所以在多余的地方一般以00h 来填充,这就是区块间的间隙。 PE 文件头里边的SectionAligment 定义了内存中区块的对齐值。PE 文件被映射到内存中时,区块总是至少从一个页边界开始。 rvafov的相互RVAFOV的相互换 为.
RVA和RAW(文件偏移)的
跃然实验室
06-11 3271
节表和节——RVA和文件偏移的RVA和文件偏移的换的换算法 (1)循环扫描节表并得到每个节在内存中的起始RVA(根据VirtualAddress字段),并根据节的大小(SizeOfRawData字段)算出节的结束RVA,最后比较判断目标RVA是否落在某个节之内。 (2)如果目标RVA处于某个节之内,那么用目标RVA减去节的起始RVA,这样就得到了目标RVA相对于节起始...
[PE文件结构学习]1.相对虚拟地址(RVA)与物理地址的
sryan的专栏
09-06 7188
正在学习PE文件结构,本人小菜鸟一个,如有不正确,欢迎指正。   PE结构即可执行文件的硬盘存储结构,Windows系统下面有exe dll等格式,PE结构先不介绍了,网上资料很多,看雪的文库里面的资料很好。   首先以我个人的理解来解释一下各种概念。   1.VA VA即virtual address。解释为虚拟地址,它是经过PE载入器重定位后的在该进程地址空间中能访问到的地址,在调
问题2,RVA换成FOA的问题
u012129783的博客
08-05 1023
1,RVA换成FOA的问题 假设:入下图,我们将37000换成FOA? if (rva &gt;= (pSectionheader-&gt;VirtualAddress) &amp;&amp; rva &lt;= (pSectionheader-&gt;VirtualAddress + pSectionheader-&gt;Misc.VirtualSize)) 第一个条件满足,第个...
滴水三期:day34.2-数据目录
Edimade的博客
05-04 915
一、数据目录概述>、作业(1.编程输出全部目录项)
关于Go语言0基础小白篇最常见的面试题整理!!!.html
最新发布
07-10
一个专为Go语言初学者和新手求职者准备的实用资源,它精心挑选了一系列面试中经常出现的Go语言问题,并提供了详尽的答案解析。这份资源从Go语言的基础知识出发,逐步深入到高级特性和最佳实践,旨在帮助读者快速掌握Go语言的核心概念和应用技巧。无论是对Go语言完全陌生的新手,还是有一定基础但希望巩固和提升的开发者,这份资源都是一个宝贵的学习工具。 一个专为Go语言初学者和新手求职者准备的实用资源,它精心挑选了一系列面试中经常出现的Go语言问题,并提供了详尽的答案解析。这份资源从Go语言的基础知识出发,逐步深入到高级特性和最佳实践,旨在帮助读者快速掌握Go语言的核心概念和应用技巧。无论是对Go语言完全陌生的新手,还是有一定基础但希望巩固和提升的开发者,这份资源都是一个宝贵的学习工具。 一个专为Go语言初学者和新手求职者准备的实用资源,它精心挑选了一系列面试中经常出现的Go语言问题,并提供了详尽的答案解析。这份资源从Go语言的基础知识出发,逐步深入到高级特性和最佳实践,旨在帮助读者快速掌握Go语言的核心概念和应用技巧。无论是对Go语言完全陌生的新手,还是有一定基础但希望巩固和提升的开发者,这份资源
怎么用笔记本查看进制文件
06-09
要在笔记本上查看进制文件,可以使用以下两种方法: 1. 使用文本编辑器打开进制文件:在Windows操作系统中,可以使用自带的记事本打开进制文件。但是,由于进制文件包含的是计算机能够理解的机器语言代码,因此在记事本中打开会显示一些乱码。对于Mac和Linux用户,可以使用文本编辑器或终端命令来打开进制文件。 2. 使用专门的进制文件编辑器:可以使用一些专门用于编辑进制文件的工具来打开和查看进制文件,例如Hex Editor Neo、010 Editor、HxD等。这些工具可以以16进制或ASCII码的形式显示进制文件,并允许用户编辑和修改进制文件中的数据。 需要注意的是,在查看和编辑进制文件时,要确保对文件进行备份,以免误操作导致数据丢失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值