内存偏移(RVA)与文件偏移(offset)相互转换

最新推荐文章于 2023-06-27 09:23:35 发布
转载 最新推荐文章于 2023-06-27 09:23:35 发布 · 4.3k 阅读 · 6

本文提供了一种实用的方法来实现PE文件中内存偏移与文件偏移之间的转换,并附带了详细的C语言代码示例。
写此文源于前一阵写一个PE修改工具,需要用到内存偏移向文件偏移转化。想着这种简单的代码网上应该一大把,百度了一下,没找到。又google,又没找到,可能是自己搜索的功力太不到家了。着急用,只好自己写了一个函数用来转换。相信很多人做PE开发的时候都会有这个需求,把这个函数贴出来供大家参考,大牛莫耻笑。
原理比较简单:首先判断这个地址是否在PE头中,如果在,文件偏移和内存偏移相等,如果存在于文件的区段中,则利用以下公式:
内存偏移 - 该段起始的RVA(VirtualAddress) = 文件偏移 - 该段的PointerToRawData
内存偏移 = 该段起始的RVA(VirtualAddress) + (文件偏移 - 该段的PointerToRawData)
文件偏移 = 该段的PointerToRawData + (内存偏移 - 该段起始的RVA(VirtualAddress))

代码如下:
01.#include <stdio.h>  
02./* 
03.Purpose:PE文件的内存偏移与文件偏移相互转换,不考虑系统为对齐填充偏移转换 
04.szFileName:文件名 
05.dwAddr:需要转换的偏移值 
06.bFile2RVA:是否是文件偏移到内存偏移的转换,1 - dwAddr代表的是文件偏移,此函数返回内存偏移 
07.      0 - dwAddr代表的是内存偏移,此函数返回文件偏移 
08.返回值:相对应的偏移值,失败返回-1 
09.*/  
10.  
11.DWORD AddressConvert(char szFileName[], DWORD dwAddr, BOOL bFile2RVA)  
12.{  
13.  char *lpBase = NULL;  
14.  DWORD dwRet = -1;  
15.  //1.首先将文件读入内存  
16.  if(szFileName[0] == 0)  
17.  {  
18.    return -1;  
19.  }  
20.  
21.  FILE *fp = fopen(szFileName, "rb");  
22.  if(fp == 0)  
23.  {  
24.    return -1;  
25.  }  
26.  
27.  fseek(fp, 0, SEEK_END);  
28.  DWORD dwFileSize = ftell(fp);  
29.  if(dwFileSize == 0)  
30.  {  
31.    return -1;  
32.  }  
33.  
34.  lpBase = new char[dwFileSize];  
35.  memset(lpBase, 0, dwFileSize);  
36.  fseek(fp, 0, SEEK_SET);  
37.  fread(lpBase, 1, dwFileSize, fp);  
38.  fclose(fp);  
39.  
40.  //2.读取该文件的信息(文件内存对齐方式以及区块数量,并将区块表指针指向区块表第一个区块头)  
41.  PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpBase;  
42.  PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((unsigned long)lpBase + pDosHeader->e_lfanew);  
43.    
44.  DWORD dwMemAlign = pNtHeader->OptionalHeader.SectionAlignment;  
45.  DWORD dwFileAlign = pNtHeader->OptionalHeader.FileAlignment;  
46.  int dwSecNum = pNtHeader->FileHeader.NumberOfSections;  
47.  PIMAGE_SECTION_HEADER pSecHeader = (PIMAGE_SECTION_HEADER)((char *)lpBase + pDosHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS));  
48.  DWORD dwHeaderSize = 0;  
49.    
50.  if(!bFile2RVA)  // 内存偏移转换为文件偏移  
51.  {    
52.    //看需要转移的偏移是否在PE头内,如果在则两个偏移相同  
53.    dwHeaderSize = pNtHeader->OptionalHeader.SizeOfHeaders;  
54.    if(dwAddr <= dwHeaderSize)  
55.    {  
56.      delete lpBase;  
57.      lpBase = NULL;  
58.      return dwAddr;  
59.    }  
60.    else //不再PE头里,查看该地址在哪个区块中  
61.    {  
62.      for(int i = 0; i < dwSecNum; i++)  
63.      {  
64.        DWORD dwSecSize = pSecHeader[i].Misc.VirtualSize;  
65.        if((dwAddr >= pSecHeader[i].VirtualAddress) && (dwAddr <= pSecHeader[i].VirtualAddress + dwSecSize))  
66.        {  
67.          //3.找到该该偏移,则文件偏移 = 该区块的文件偏移 + (该偏移 - 该区块的内存偏移)  
68.          dwRet = pSecHeader[i].PointerToRawData + dwAddr - pSecHeader[i].VirtualAddress;  
69.        }  
70.      }  
71.    }  
72.  }  
73.  else // 文件偏移转换为内存偏移  
74.  {  
75.    dwHeaderSize = pNtHeader->OptionalHeader.SizeOfHeaders;  
76.    //看需要转移的偏移是否在PE头内,如果在则两个偏移相同  
77.    if(dwAddr <= dwHeaderSize)  
78.    {  
79.      delete lpBase;  
80.      lpBase = NULL;  
81.      return dwAddr;  
82.    }  
83.    else//不再PE头里,查看该地址在哪个区块中  
84.    {  
85.      for(int i = 0; i < dwSecNum; i++)  
86.      {  
87.        DWORD dwSecSize = pSecHeader[i].Misc.VirtualSize;  
88.        if((dwAddr >= pSecHeader[i].PointerToRawData) && (dwAddr <= pSecHeader[i].PointerToRawData + dwSecSize))  
89.        {  
90.          //3.找到该该偏移,则内存偏移 = 该区块的内存偏移 + (该偏移 - 该区块的文件偏移)  
91.          dwRet = pSecHeader[i].VirtualAddress + dwAddr - pSecHeader[i].PointerToRawData;  
92.        }  
93.      }  
94.    }  
95.  }  
96.    
97.  //5.释放内存  
98.  delete lpBase;  
99.  lpBase = NULL;  
100.  return dwRet;  
101.}

节表头解析以及RVA文件偏移地址的转换
ChuMeng1999的博客
10-18 1193
目录预备知识一、相关实验二、节区简介三、Python的struct模块1.struct.pack(fmt, v1, v2, ...)2.struct.unpack(fmt, string)3.fmt支持的部分格式如下图所示实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》。 二、节区简介 PE文件在DOS
PE文件的相对虚拟地址(RVA)和文件偏移地址(FOA)的转换
热门推荐
12-27 1万+
RVA(相对虚拟地址)和FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的转换,是因为同一个文件在硬盘和内存中的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)和FileAlignment(文
内存偏移转换文件偏移
qq_41610493的博客
01-18 502
/************************************ 函数:RVAToFOA 说明:从内存偏移转换文件偏移 ***********************************/ BOOL PE::RVAToFOA(DWORD RVA,DWORD &FOA,BOOL IsEnableLog) { / 计算公式: 1. 先计算出此RVA 属于那个节 2. 该节文件节的差值k 3. RVA - 差 = FOA */ if
RVA文件偏移转换
weixin_33713350的博客
10-02 141
RVA文件偏移转换 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/10/02/3845785.html
文件偏移内存偏移
weixin_30542079的博客
11-12 297
sectionalignment和FileAlignment 内存中块大小和文件中块大小 参考: http://bbs.pediy.com/showthread.php?s=&threadid=18022 转载于:https://www.cnblogs.com/predator-wang/p/4958401.html...
PE文件(2)VA、RVA和FileOffset的理解
weixin_43972499的博客
04-06 2173
PE文件基本概念文件对齐和内存对齐RVA和FileOffsetVA及重定向的概念 基本概念   在PE文件的学习中,我们经常看到RVA,VA,文件偏移内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
PE文件解析(2):RVAFOA转换和区段表
ylh的博客
10-30 1462
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
RvaToFileOffset 内存偏移转成文件偏移(滴水课后作业)
hambaga的博客
05-10 761
题目说明 将内存偏移RVA转成文件偏移FOA的函数; 思路是遍历节表,比较节内存偏移VirtualAddress和RVA,确定RVA所在的节之后,计算RVA距离所在节首地址的偏移offset,然后返回offset+PointerToRawData. 以xp的notepad.exe为例 .text节的文件偏移是400h,内存偏移是1000h,调用函数结果如下: printf("%x\n", RvaToFileOffset(pFileBuffer, 0x1000)); 函数源码 // 内存偏移RVA转成文
内存偏移
weixin_34115824的博客
04-18 324
1 #include "stdafx.h" 2 3 class A 4 { 5 public: 6 A(){m_a = 1; m_b = 2;} 7 void fun(){printf("%d %d\n", m_a, m_b);} 8 private: 9 int m_a; 10 int m_b; 11 }; 12 ...
RVA文件偏移转换
求索
08-22 1560
在前边我们探讨过RVA 这个词,但对于初次接触PE 文件的朋友来说,显得尤其陌生和无奈。中国人不喜欢老外的缩写,但总要**着接受……不过,在有了前边知识的铺垫之后,现在来谈这个概念大家伙应该能够得心应手了。起码不用显得那么的费解和无奈~ RVA 是相对虚拟地址(Relative Virtual Address)的缩写,顾名思义,它是一个“相对地址”。PE 文件中的各种数据结构中涉及地址的字段
偏移转换工具,将文件偏移转换内存偏移
08-13
用OD做免杀时要先将定位出来的特征码地址进行转换才能载入OD
类的内存偏移
h934070878的专栏
08-19 673
一道面试宝典中的题目,直接上代码: #include using namespace std; class A { public: A() { x=1;y=2; } void print() {cout" "<<y<<endl;} int x; int y; }; class B { public: B() { x=3; } void print() {
面试---内存偏移
爱橙子的OK绷的专栏
09-27 2939
下面程序中pb->func();的输出结果?#include <iostream> #include<stdio.h> using namespace std; class M { public: M() {a = 1; b = 2;}; ~M() {}; void func() { cout<<a<<" "<<b<<endl; } //pri
指针内存偏移
yinhua405的博客
05-03 681
void test24() {         class A         {                 public:                 A() {m_a=1,m_b=2;}                 ~A(){};                 void fun(){printf("%d %d\n",m_a,m_b);}         //  
PE文件中, RVA文件偏移转换
guyuehun1的专栏
12-04 1920
最近在学习PE文件, 被RVA文件偏移搞的非常郁闷, 非常之纠结… 不过还好… 总算整明白了, 现整理下… 理下思路…. 就从罗云彬的教材中的例子说起吧….constszNotFound   db     ‘无法查找’, 0      .code;>>>>>>>>>>>>>>>>>;将RVA转换文件偏移;>>>>>>>>>>>>>>>>>_RVAToOffset  
内存对齐计算方法(偏移量)
小洁洁
02-11 2123
1.1第一个成员的地址在结构体变量偏移量为0的地址处。1.2其中对齐数=编译器默认的一个对齐数该成员大小的较小值。(vs默认为8)1.3其他成员变量依次要按照对齐数的整数倍的地址处来存放。1.4结构体总体的大小要为最大对齐数的整倍数。(每一个成员变量都有自己的对齐数,1.3描述的对象不一样)1.5如果一个结构体里面包含一个结构体,把其看作一个成员就行(但其整体对齐数不能看作一个对齐数来比是否为最大对齐数)。
驱动开发:内核读写内存多级偏移
LYSHARK
06-27 6275
让我们继续在`《内核读写内存浮点数》`的基础之上做一个简单的延申,如何实现多级偏移读写,其实很简单,读写函数无需改变,只是在读写之前提前做好计算工作,以此来得到一个内存偏移值,并通过调用内存写入原函数实现写出数据的目的。 以读取偏移内存为例,如下代码同样来源于本人的`LyMemory`读写驱动项目,其中核心函数为`WIN10_ReadDeviationIntMemory()`该函数的主要作用是通过用户传入的基地址偏移值,动态计算出当前的动态地址。
实现虚拟内存地址到文件偏移地址的转换
as you know, nlp is fantasitc!
03-23 880
写在前面:这是一次实践作业,用c来写似乎好写一点,但我比较熟悉python,也找到了python相关的库,就用python来实现下,用一晚上把前天写的代码变成了图形化界面,自学过程中,学到了许多东西,也把很多学过的都实践了一遍 目标: 实现过程: 原理 上课老师讲了原理,其实很好懂,主要是PE文件的结构我不太熟悉,一直反复看,贴下原理吧 实现思路 1、找python有没有操作 pe 相关的库,有一篇参考文章 ,pefile库可以来完成这次的作业 2、找到相关的变量 ImageBase(基址) Virt
RvaToOffset 函数实现
B_H_L的专栏
04-03 1888
DWORD RvaToOffset(PBYTE pMapping, DWORD dwRva) { IMAGE_DOS_HEADER *pidh = (IMAGE_DOS_HEADER *)pMapping; IMAGE_NT_HEADERS *pinh = (IMAGE_NT_HEADERS *)(pMapping + pidh->e_lfanew);
PE的各个关键结构和字段文件偏移地址和虚拟内存地址
最新发布
05-26
### PE文件格式的关键结构字段解析 #### 1. 文件偏移地址 (Raw Address) 和虚拟内存地址 (RVA, Relative Virtual Address) 在PE文件中,存在两种类型的地址表示方法: - **原始存储地址(物理地址/文件偏移地址)** 是指相对于PE文件起始位置的偏移量。该地址主要用于描述文件在磁盘上的实际存储位置[^1]。 - **相对虚拟地址(RVA)** 则是指当PE文件被加载到内存后,相对于内存映像基址的偏移量。此地址用于运行时定位资源、代码和其他数据项[^1]。 两者之间的关系可以通过以下公式计算: ```plaintext VirtualAddress = FileOffset + ImageBase - SectionAlignment FileOffset = RVA - SectionHeader.VirtualAddress + SectionHeader.PointerToRawData ``` 其中 `ImageBase` 表示进程加载到内存后的基址;`SectionAlignment` 表示节对齐大小;`PointerToRawData` 和 `VirtualAddress` 来自于节表中的对应字段[^4]。 --- #### 2. 关键结构及其字段详解 ##### (1)DOS Header (`IMAGE_DOS_HEADER`) 这是PE文件的第一个结构,位于文件开头。它的主要作用是兼容旧版MS-DOS系统并引导至真正的PE头部。重要字段如下: - `e_magic`: DOS头标志符,固定值为 `"MZ"`。 - `e_lfanew`: 指向PE签名的位置(即文件偏移地址)。通过这一字段可以找到后续的NT Headers起点[^2]。 ##### (2)PE Signature 紧跟在DOS Header之后的是PE签名,由四个字节组成,通常为字符串 `"PE\0\0"`。它是确认文件是否遵循PE标准的重要标记。 ##### (3)NT Headers (`IMAGE_NT_HEADERS`) 及 Optional Header NT Headers包含了两个子部分——文件头和可选头。以下是关键字段说明: - **Signature**: 如前所述,固定的PE标识。 - **FileHeader**: - `Machine`: 描述目标CPU架构(如x86或AMD64)。 - `NumberOfSections`: 定义节数目。 - `SizeOfOptionalHeader`: 显示可选头的实际长度。 - **OptionalHeader**: - `Magic`: 标识PE文件版本(通常是`0x10B`代表PE32,或者`0x20B`代表PE32+)。 - `AddressOfEntryPoint`: 进程入口点的RVA值。 - `ImageBase`: 加载器尝试分配给模块的基础地址。 - `SectionAlignment`: 决定各节在内存中的对齐方式。 - `FileAlignment`: 控制各节在磁盘文件内的对齐规则[^2]。 ##### (4)Section Table (节表) 节表记录了各个区段的信息,包括名称、大小、权限等属性。每一项都包含以下几个核心字段: - `Name`: 区段名,最多八个字符。 - `Misc_VirtualSize`: 当前区段占用的虚拟内存大小。 - `VirtualAddress`: 此区段第一个字节对应的RVA。 - `SizeOfRawData`: 实际写入文件的数据块尺寸。 - `PointerToRawData`: 数据块在文件中的起始偏移量。 - `Characteristics`: 描述区段特性(例如只读、可执行等)[^3]。 --- #### 3. 示例代码展示如何获取特定字段 下面是一个简单的Python脚本片段,演示如何提取PE文件的部分元信息: ```python import pefile def analyze_pe(file_path): pe = pefile.PE(file_path) # 获取DOS头信息 dos_header_e_magic = hex(pe.DOS_HEADER.e_magic)[^2] dos_header_e_lfanew = hex(pe.DOS_HEADER.e_lfanew)[^2] # 获取NT头信息 nt_signature = hex(pe.NT_HEADERS.Signature)[^2] file_header_machine = hex(pe.FILE_HEADER.Machine) optional_header_address_of_entry_point = hex(pe.OPTIONAL_HEADER.AddressOfEntryPoint)[^2] # 获取首个区段信息 section_name = pe.sections[0].Name.decode().rstrip('\x00')[^3] virtual_address = hex(pe.sections[0].VirtualAddress)[^3] pointer_to_raw_data = hex(pe.sections[0].PointerToRawData)[^3] result = { "dos_header": {"e_magic": dos_header_e_magic, "e_lfanew": dos_header_e_lfanew}, "nt_headers": {"signature": nt_signature, "machine": file_header_machine, "entry_point": optional_header_address_of_entry_point}, "section_info": {"name": section_name, "virtual_address": virtual_address, "raw_pointer": pointer_to_raw_data} } return result file_analysis = analyze_pe("example.exe") print(file_analysis) ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值