RVA与FOA的转换

最新推荐文章于 2024-07-25 09:58:57 发布
最新推荐文章于 2024-07-25 09:58:57 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: PE文件结构 文章标签: 系统安全 安全 windows
本文链接:https://blog.csdn.net/weixin_43754657/article/details/122005974
版权

RVA与FOA的转换

RVA与FOA的转换的计算公式

1)RAV的值:内存地址 - ImageBase
2)判断RAV是否位于PE头中,如果是:FOA = RAV
3)判断RAV位于哪个节:
-----------RAV >= 节.VirtualAddress
-----------RAV >= 节.VirtualAddress + 当前节内存对齐后的大小
-----------差值 = RAV - 节.VirtualAddress
4)FOA = 节.PointerToRawData + 差值

如何在PE文件中更改程序的全局变量

在这里插入图片描述

RAV的值:内存地址 - ImageBase

在这里插入图片描述
全局变量a在内存中的地址:425a30
rav = 425a30 - 400000
= 25a30

由于现在的编译器,编译过后的文件对齐与内存对齐一至,所以 FOA 的值:内存地址 - ImageBase = 0x25a30

在这里插入图片描述

修改 0x25a30 中的值

在这里插入图片描述

保存并运行程序

在这里插入图片描述

qwertyuiop_i
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PE文件学习--RVAFOA转换
KOOKNUT的博客
03-31 1074
当我们的PE文件没有被装载到内存中的时候,它是以什么样的存储方式在磁盘中存储呢?当被装载到内存之后,PE文件的内容又是什么样的光景呢? RVA:相对虚拟地址 FOA:文件偏移地址 今天我们说的重点就是RVAFOA转换,之前我们已经知道PE文件在磁盘文件中的对齐粒度是0x200,在内存中的对齐粒度是0x1000,我们来看一张《Windows PE权威指南》中的图片: 从上图我们可以看出PE...
滴水逆向——RVAFOA相互转换
sunr.
04-07 3225
(开始这段别人总结的比较好,我就拿来用了) 1.RVA2FOA 即我们现在知道内存状态下的偏移,需要找到文件状态下的偏移。 步骤如下图: step1:内存中的地址减去内存基址得到偏移,即RVA。 step2:循环遍历节表中各个节的信息,判断在哪个节中。(需要满足:内存偏移+节数据没对齐的大小>image_panyi>内存偏移) step3:找出在哪个节后,减去该节在内存中的偏移...
7.PE文件之RVAFOA转换
kernelhack
10-27 4895
PE文件头和PE内存映像的文件头大小是一样的.节的数据在内存和磁盘文件的大小是不一样的,节表项记录了内存映像中节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件中的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存中是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE中除去文件头以外的内容,而文件头在磁盘文件中和内存中是没
PE文件结构—RvaFoa
weixin_48257887的博客
05-07 242
通过上图,我找到节表数组下标为7的位置,0x40000000h+0x00020000h = 0x0x40020000h(节的起始地址),节的最大地址=0x40020000h+0x43c(1084d)=0x4002043C。通过上图,我找到节表数组下标为4的位置,0x40000000h+0x0001D000h = 0x4001D000h(节的起始地址),节的最大地址=0x4001D000h+0x43c(3907d)=0x4001DF43h。2.比如找数据目录表的资源表的结构体位置。
RVAFOA转换---三
m0_73452266的博客
03-18 443
如何修改PE文件改变输出结果 RVAFOA的关系
PE文件解析(2):RVAFOA转换和区段表
ylh的博客
10-30 1083
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
RVAFOA转换
qq_58405021的博客
12-20 1116
RVAFOA转换
VA&RVA&FOA 转换复习
CSDN
03-24 4940
虚拟地址结束位置:imagebase + .text节尺寸 => 401000 + 0x0007B0DE = 0x47C0DE .text节结束地址。虚拟地址开始位置: imagebase + .text节RVA => 0x400000 + 0x00001000 = 401000。FOA(文件偏移) = RVA + .text节的文件偏移 0x00001000 = 5C485 + 1000 = 5D485。0x400000 + 0x5d485 = 0x45d485 载入 od 验证。
滴水逆向作业——RVAFOA相互转换
weixin_44584614的博客
02-20 2136
PE有两种不同的状态:1.FileBuffer文件状态 2.ImageBuffer内存状态。 当需求为:改变一个变量的值,知道它在内存状态下的地址,我们需要找到他在文件状态下的地址对它进行修改。或者反之,我们知道它在文件状态下的地址、找出他在内存状态下的地址。就需要RVAFOA相互转换RVAFOA相互转换主要会使用到节表中的信息,所以我们先需要复习一下节表中的信息。 节表 节表存在于可选P...
RVA-FOA转换工具
09-29
在IT领域,RVA(Relative Virtual Address)和FOA(File Offset Address)是两种与程序内存管理和文件存储相关的地址概念,通常在逆向工程、软件调试以及系统编程中被广泛讨论。RVA-FOA转换工具是这类软件开发和分析...
RVA:储层可视化与分析
05-11
RVA,全称为Reservoir Visualization and Analysis,是一个专注于地质建模和储层分析的软件工具。在石油和天然气行业中,储层分析对于理解和预测油气藏的性能至关重要。RVA利用C++编程语言进行开发,提供了强大的...
RVA:RNAseq可视化自动化
05-22
RNAseq可视化自动化RNAseq可视化自动化安装RVA install.packages( " RVA " ) 装入包装以供使用library( RVA )加载示例数据让我们加载一个摘要统计表,并将它们组合到一个名为d1的列表中。 df <- RVA :: Sample_...
国标优质籼稻的稻米品质与淀粉RVA谱特征研究 (2015年)
05-23
[方法]以广东省最近育成的水稻品种粤晶丝苗2号等为研究材料,对稻米碾磨品质、外观品质、蒸煮食味品质、营养品质和淀粉RVA谱进行了测定和相关分析。[结果和结论]国标优质籼稻具有整精米率较高、粒型窄长、腹心白少、...
PM50RVA120
07-11
综上所述,三菱PM50RVA120 IPM模块是一款集成了IGBT、门极驱动电路和保护逻辑的高性能器件,适用于多种功率转换和控制场景。其紧凑的设计、内置的保护功能以及广泛的适用性使其成为电力电子系统设计的理想选择。
科普文:Linux系统安全加固指南
最新发布
为无为,事无事,味无味。
07-25 1005
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
哪个邮箱最安全最好用啊
Zoho_Mail的博客
07-23 1417
Zoho企业邮箱,采用加密技术、反垃圾邮件和病毒保护,支持多因素认证,确保数据安全合规,同时提供易用性集成和移动应用。对公司,电子邮件可能带上商业计划、顾客信息、财务报表等保密信息,泄露可能导致竞争者掌握,危害企业的竞争优势与信誉。邮件炸弹进攻:很多垃圾短信的涌入可能导致邮箱服务器负荷,危害工作邮件的接收和推送,进而影响业务运作。登陆凭据、医疗记录、专利等敏感信息,一旦泄露,可能对个人或企业导致不可逆的伤害。遵守国际安全标准和法规,如GDPR、HIPAA等,保证用户数据的合法处理和保护。
如何安全的申请SSL证书
2401_86337938的博客
07-22 1552
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包含证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
日记审计遵守合规安全要求
m0_66268916的博客
07-24 512
它主要用于帮助组织实时监控与分析各种事件和行为的日志记录,以便检测潜在的安全威胁,了解系统性能和进行故障排除。它可以跟踪系统错误、异常行为和性能问题,使管理员能够迅速定位和解决潜在的技术故障,从而提高系统的可用性和性能。通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次。支持全维度、跨设备、细粒度的关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。
RVA和RAW有什么区别
04-18
RVA (Relative Virtual Address) 是指相对虚拟地址,是相对于模块加载基址的偏移量;RAW (Relative Absolute Address) 是指相对绝对地址,是相对于物理内存地址的偏移量。简单来说,RVA 是相对于可执行文件的加载...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值