节表头解析以及RVA与文件偏移地址的转换

最新推荐文章于 2024-04-07 23:35:18 发布
原创 最新推荐文章于 2024-04-07 23:35:18 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #golang

本文介绍了PE文件的节区和节表头,详细解析了Python的struct模块在处理数据格式转换中的作用。实验部分涉及RVA与文件偏移地址的转换算法,通过实际操作展示了如何利用C32Asm和PEiD工具分析节表头,并编写Python脚本来实现RVA到文件偏移的转换。

目录

预备知识

一、相关实验

本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》。

二、节区简介

PE文件在DOS头以及PE文件头部分以后的数据便是节表以及多个不同的节区,节表中包含多个节表头,每一个节表头对应PE文件的一个节区。
PE文件一般至少有两个节区:一个是数据块、一个是代码块。每个节区都有一个名字,用于区分节区的用途,如数据块的名字通常为.data,代码块的名字通常为.text。使用节区名字只是为了方便人们区分不同的节区,实际上节区名字可以随便修改,因为这对操作系统而言是无关紧要的。
在PEiD中查看一个PE文件的节区,通常看起来都像下面这个样子:
在这里插入图片描述

三、Python的struct模块

使用Python的struct模块可以实现将数据序列转换为指定类型的数据,并且能够指定是大端模式还是小端模式,同时,struct模块也支持将指定类型的数据转换为数据序列。
struct模块中最常用的两个函数为pack以及unpack:

1.struct.pack(fmt, v1, v2, …)

将v1、v2等数据按照fmt指定的格式转换为数据序列,函数返回一个字符串序列。

2.struct.unpack(fmt, string)

将数据序列string按照fmt指定的格式进行拆分,是pack函数的逆操作,函数返回一个列表(即使只有一个数据也是返回一个列表)。

3.fmt支持的部分格式如下图所示

在这里插入图片描述
fmt的第一个字符用于指定是大端模式还是小端模式,其中小端模式使用字符“<”,大端模式使用字符“>”。
比如需要将\x4D\x5A按照小端模式转换为WORD类型(也就是unsigned short)的数据,那么执行struct.unpack("<H", “\x4D\x5A”)[0]即可,得到的值为0x5A4D,如下图所示:
在这里插入图片描述

实验目的

1)学习PE文件节表头以及节区知识;
2)掌握RVA与文件偏移地址的转换算法;
3)编程实现RVA与文件偏移地址的转换。

实验环境

在这里插入图片描述
服务器:Windows XP,IP地址:随机分配
辅助工具:C32Asm、PEiD、Python

实验步骤一

节表头以及节区分析。

最低0.47元/天 解锁文章
PE文件格式总结 - DOS文件头、PE文件头表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头表和表详解
PE文件结构
最新发布
UE星空
12-24 1511
PE文件是Windows下可执行文件的总称,英文全称PortableExecutable可移植的可执行文件,常见的有exe、dll、sys、com、ocx对于了解(木马、免杀、病毒、外挂、内核),了解PE文件结构是非常有必要且非常重要的!代码段:可读可执行不可写数据段:可读可写不可执行资源段:可读不可执行不可写导入表(.idata):简称IAT表ImportAddressTable。
内存偏移(RVA)文件偏移(offset)相互转换
SauceJ的专栏
09-19 4321
写此文源于前一阵写一个PE修改工具,需要用到内存偏移向文件偏移转化。
ELF头表分析
astrotycoon
12-20 3328
Sections An object file's section header table lets one locate all the file's sections. The section header table is an array of Elf32_Shdr or Elf64_Shdr structures as described below. A section hea...
PE文件解析(2):RVAFOA转换和区段表
ylh的博客
10-30 1459
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 964
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
RvaToFileOffset 内存偏移转成文件偏移(滴水课后作业)
hambaga的博客
05-10 760
题目说明 将内存偏移RVA转成文件偏移FOA的函数; 思路是遍历表,比较内存偏移VirtualAddress和RVA,确定RVA所在的之后,计算RVA距离所在首地址的偏移offset,然后返回offset+PointerToRawData. 以xp的notepad.exe为例 .text文件偏移是400h,内存偏移是1000h,调用函数结果如下: printf("%x\n", RvaToFileOffset(pFileBuffer, 0x1000)); 函数源码 // 内存偏移RVA转成文
重定位表结构解析
ChuMeng1999的博客
10-24 920
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《表头解析以及RVA文件偏移地址转换》。 本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。 实验目的 1)了解重定位的原理; 2)了解PE文件的重定位表结构
输入表结构解析
ChuMeng1999的博客
10-18 664
目录预备知识一、相关实验二、输入表简介三、API版本实验目的实验环境实验步骤一实验步骤二实验步骤三1.将十六进制数据转换为小端格式的数值2.提取ASCII字符串3.读取文件数据4.检查文件合法性并读取数据5.RVA文件偏移值6.输入表结构解析 预备知识 一、相关实验 本实验要求已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《表头解析以及RVA文件偏移地址转换》。 二、输入表
RVA、VA、RAW、偏移量
late0001的专栏
06-09 2950
VA,虚拟地址,也就是程序被加载到内存中的地址 RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。 RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字流,OFFSET就是这个字流中的位置。 //文件偏移又称物理偏移,就是保存在磁盘里的文件。 换算关系为:
计算机病毒分析对抗————2、PE文件
Fly_鹏程万里
04-24 2021
1、PE文件定义PE即(Portable Executable,可移植的执行体),它是Win32可执行文件的标准格式。2、PE文件结构总共五部分:DOS头、PE文件头表、,调试信息。Dos头:由MZ文件头以及DOS插桩程序构成,其实际上就是一个在DOS环境下显示“Thisprogram can not be run in DOS  mode”或“This program must be ru...
文件 偏移 基址_PE文件涉及的地址概念
weixin_36352719的博客
01-12 988
本文参考了 @旋风火鸡 的文章,链接如下:旋风火鸡:PE可执行文件格式详解​zhuanlan.zhihu.com虚拟地址(Virtual Address, VA),PE文件被加载开始运行后,进程的可执行代码、数据所在的地址空间称为虚拟地址空间,代码和数据在该空间内的地址称为虚拟地址。相对虚拟地址(Reverse Virtual Address, RVA),相对虚拟地址是虚拟地址相对于映射基址的偏移...
基地址和偏移地址的概念
热门推荐
SXXYNHHXX的博客
09-01 1万+
基地址(Base Address)和偏移地址(Offset Address)是在计算机体系结构和操作系统中经常使用的概念,用于表示内存地址的组成部分。 1. 基地址(Base Address):基地址是一个固定的内存地址,通常是一个模块(如可执行文件或动态链接库)在内存中加载时的起始地址。它是一个绝对地址,表示模块在内存中的位置。基地址可以被看作是模块的逻辑起点,所有相对于模块的内部地址都是相对于基地址进行计算的。 2. 偏移地址(Offset Address):偏移地址是相对于某个基地址的地址差值
实现虚拟内存地址到文件偏移地址转换
as you know, nlp is fantasitc!
03-23 879
写在前面:这是一次实践作业,用c来写似乎好写一点,但我比较熟悉python,也找到了python相关的库,就用python来实现下,用一晚上把前天写的代码变成了图形化界面,自学过程中,学到了许多东西,也把很多学过的都实践了一遍 目标: 实现过程: 原理 上课老师讲了原理,其实很好懂,主要是PE文件的结构我不太熟悉,一直反复看,贴下原理吧 实现思路 1、找python有没有操作 pe 相关的库,有一篇参考文章 ,pefile库可以来完成这次的作业 2、找到相关的变量 ImageBase(基址) Virt
pe格式从入门到图形化显示(五)-RVA和FOA
Mrack的博客
04-07 756
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的RVA(相对虚拟地址)和FOA(文件偏移地址)是用于描述文件在内存和磁盘中的位置的概念。RVA是相对于PE文件载入地址的偏移位置,它是一个相对的地址(偏移)。当PE文件在磁盘中时,某个数据位置相对于文件头的偏移量称为文件偏移地址(FOA)。RVA在程序加载到内存时被使用,它指向程序在内存中的虚拟地址。FOA在程序未加载到内存时被使用,它指向程序在磁盘上的文件偏移量。
VA文件地址的换算公式
白水的博客
11-12 4954
文件偏移地址=虚拟内存地址(VA)-装载基址(Image Base)-偏移=RVA-偏移 FileOffset = VA - ImageBase - (VOffset - ROffset) 文件虚拟偏移地址文件物理偏移地址的计算公式如下: ①VaToFileOffset(虚拟地址转文件偏移地址) 如VA = 00401000 (虚拟地址) ImageBase = 0040000...
File Offest和RVA之间的关系
本博客所有内容都是转的前辈们的
04-13 930
1.文件偏移地址 (File Offest) 数据在PE文件中的地址叫文件偏移地址,个人认为叫做文件地址更加准确.这是文件在磁盘上存放时相 对文件开头的偏移. 2.装载地址 (Image Base) PE装入内存时的基地址.默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件是0x10000000. 这些位置可以通过修改编译选项更改. 3.虚拟内存地
Windows PE文件常识
qq_15054345的博客
03-15 533
不同模块的基地址一般式不同的,但是也有特殊情况,如果两个的基地址相同,就有曹子系统来决定这两个模块在虚拟地址空间中的额具体位置。该概念属于操作系统中的概念——每个空间都有独立的4GB(32为环境下)或者2^64B的虚拟地址空间,在这个空间中定位的地址为虚拟内存地址,在PE中,进程本身的VA等于:进程的基地址+相对虚拟内存地址。此类地址是一种特殊地址,其计算方法不是从文件头或者内存某个某开的额基地址算起,而是从某个特定的位置算起,这种地址在PE结构中很少见,例如在资源表中就出现过这样的地址。
PE文件学习笔记(三):导出表(Export Table)解析
Apollon_krj的博客
08-17 7022
数据目录表(Data Directory):16个_IMAGE_DATA_DIRECTORY结构体元素,该结构体数组时可选PE头中最后一个成员。这十六个元素分别存储了不同信息,分别是:导入表、导出表、资源、异常信息、安全证书、重定位表、调试信息、版权所有、全局指针、TLS、加载配置、绑定导入、IAT、延迟导入、COM信息、最后一个保留未使用。和程序运行时息息相关的表有:导出表、导入表、重定位表、IA
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值