RVA VA ImageBase RAW offset关系

最新推荐文章于 2024-11-12 17:11:41 发布
原创 最新推荐文章于 2024-11-12 17:11:41 发布 · 1.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#磁盘 #file #exe

本文介绍了PE文件中的关键概念,包括相对虚拟地址(RVA)、虚拟地址(VA)、基地址(ImageBase)及文件偏移地址(RAWoffset)的关系。通过实例讲解了如何计算这些地址,帮助读者理解PE文件在内存和磁盘上的表示。

RVA VA ImageBase RAW offset关系

RVA:relative virtrual address

VA:virtrual address

ImageBase:基地址

RAW offset:物理地址,也就是磁盘文件上的文件偏移地址(File offset)

 

PE文件在内存中时:

虚拟地址(VA)=基地址(ImageBase)+相对虚拟地址(RVA)

PE文件在磁盘上时:

某个数据的位置相对于文件头的偏移量,称为文件偏移地址(File Offset)或物理地址(RAW offset)

文件偏移地址从PE文件第一个字节起计数,初始值为0。

 

假设一个EXE文件从地址400000H处装入,并且它的代码区块开始于401000h,代码区块的RVA将是:

目标地址401000h - 装入地址400000h=RVA 1000h

ccchu
关注
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
【逆向】PE结构分析和关于PE的一些问题及解决
lanlanla的成长历程
01-08 1569
目录 前言: 开始需要大概了解一些名词: 程序的装入(地址的变换) 分页机制: 大概带着这些知识后,再来看PE的结构: 一些结构的定义 关于地址计算的一些问题 经典例题: 例题分析 ☆如何在PE中查找并计算这些地址? 计算:解决地址转换问题(使用PEView) ①计算每个节区在内存中的位置、大小: ②每个节区在文件中的偏移 ③每个节区在内存中的大小?每个节区在文件中的...
dd指令使用
坚持的力量
09-28 9824
dd指令选项详解 if=file:输入文件名,缺省为标准输入 of=file:输出文件名,缺省为标准输出 ibs=bytes:一次读入 bytes 个字节(即一个块大小为 bytes 个字节) obs=bytes:一次写 bytes 个字节(即一个块大小为 bytes 个字节) bs=bytes:同时设置读写块的大小为 bytes ,可代替 ibs 和 obs cbs=bytes:一次转换 bytes 个字节,即转换缓冲区大小 skip=blocks:从输入文件开头跳过 blocks 个块后再开始复制 se
FileOffsetRVA关系
bobopeng
06-15 1603
1.文件偏移地址 (File Offest) 数据在PE文件中的地址叫文件偏移地址,个人认为叫做文件地址更加准确.这是文件在磁盘上存放时相 对文件开头的偏移. 2.装载地址 (Image Base) PE装入内存时的基地址.默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件是0x10000000. 这些位置可以通过修改编译选项更改. 3.虚拟内存地址 
【转】RVAVAOffset
weixin_30698297的博客
12-26 352
对于变量A来说:File_Offset就是磁盘文件中A的位置。File_Offset=VA-ImageBase-VRk=RVA-VRkImageBase就是文件加载到内存的起始位置。ImageBase=VA-RVA多为:0x00400000,0x01000000Entr...
PE文件RVA-VA-Offset
weixin_33785108的博客
04-16 368
VA | Memory | Offset | Disk Files | | | | | 00400000 +-------------+<---------00000000 +-------------+ | DOS Header | ...
java date rawoffset_Java TimeZone getRawOffset()方法与示例
weixin_34711263的博客
03-04 1054
TimeZone类getRawOffset()方法getRawOffset()方法在java.util包中可用。getRawOffset()方法用于返回添加到UTC以获得此TimeZone中的标准时间(ST)的时间(以毫秒为单位)。getRawOffset()方法是一种非静态方法,仅可通过类对象访问,如果尝试使用类名访问该方法,则会收到错误消息。getRawOffset()方法在获取以毫秒为单位的...
RVA与RWA的关系
weixin_30480583的博客
08-05 472
RVA与RWA的关系 原理比较简单:首先判断这个地址是否在PE头中,如果在,文件偏移和内存偏移相等,如果存在于文件的区段中,则利用以下公式: 内存偏移-该段起始的RVA(VirtualAddress)=文件偏移-该段的PointerToRawData 内存偏移=该段起始的RVA(VirtualAddress)+(文件偏移-该段的Point...
相对虚拟地址,虚拟地址,文件偏移地址
shitdbg的博客
11-06 4779
相对虚拟地址(RVA,Relative Virtual Address),RVA只是内存中的一个简单相对于PE文件装入地址的偏移位置,它是一个“相对地址”,或称“偏移量”。例如,假设一个PE文件从地址400000h处装入,并且它的代码节开始于401000h,代码节的RVA将是:目标地址401000h - 装入地址400000h = RVA 1000h。 PE文件中出现RVA的概念是因为PE的
逆向整理-PE
weixin_43742794的博客
02-29 564
PE相关 PE文件格式 PE文件是windows下的32位可执行文件格式,64位称为PE+或PE32+ 文件中使用偏移(offset)内存中使用VA(Virtual Address)来表示位置,VA指的是进程虚拟内存中的绝对地址,RVA(Relative Virtual Address)指从某个基准位置(ImageBase)开始的相对地址,RVA+ImageBase=VA PE头 在PE头的最前面...
逆向——PE头及导入表应用
young的博客
03-22 2036
逆向——PE头及导入表应用 文章目录逆向——PE头及导入表应用前言一、PE可执行文件分析二、调试软件OllyDBG2.1、利用OD软件调试PE文件。2.2、怎么理解E8 08000000?2.3、F7单步步入和F8单步步过 有什么不同?2.4、修改EXE文件字节码2.5、修改是从文件偏移的什么地方开始的(FOA和VARVA分别的多少)?三、调试软件W32DASM3.1、该函数用到哪几个DLL,分别用到哪几个函数?四、FlexHex 或 Winhex4.1、如何初步判断一个文件是PE文件?五、利用PEdi
RvaToFileOffset 内存偏移转成文件偏移(滴水课后作业)
hambaga的博客
05-10 763
题目说明 将内存偏移RVA转成文件偏移FOA的函数; 思路是遍历节表,比较节内存偏移VirtualAddress和RVA,确定RVA所在的节之后,计算RVA距离所在节首地址的偏移offset,然后返回offset+PointerToRawData. 以xp的notepad.exe为例 .text节的文件偏移是400h,内存偏移是1000h,调用函数结果如下: printf("%x\n", RvaToFileOffset(pFileBuffer, 0x1000)); 函数源码 // 内存偏移RVA转成文
java date rawoffset_Java TimeZone setRawOffset()用法及代码示例
weixin_31067983的博客
02-25 208
Java中TimeZone类的setRawOffset(int offsetMillis)方法用于将基本时区偏移量设置为GMT。此偏移值可以是UTC以获取本地时间。用法:public abstract voidsetRawOffset(int offsetMillis)参数:该方法接受整数类型的单个参数offsetMillis,该参数指定给定的基准时区与GMT的偏移量。返回值:该方法不返回任何值。...
PE格式系列_0x02:PE头部信息(WinDbg查看)
可乐松子的博客
05-23 2021
0x02 PE头部信息(WinDbg查看) 使用像CFF、Stud_PE等专用工具可以直接查看PE文件的格式,那还有必要学习PE的格式吗?前面学习目的就是答案 单纯的看PE格式介绍没什么意思,下面结合分析notepad软件来学习PE格式 工具:调试器是WinDbg、PE查看工具是Stud_PE和PEview(任何一款PE工具都可以) 提示:WinDbg是windows下调试的神器,如果有时间的话,建议学习一个使用 1.notepad基本信息 先使用WinDbg简单了解一下C:\Windows\SysWO
远程线程插入
doudoushen的专栏
08-07 1543
说到隐藏进程,下面的文字其实是非常牵强的。本文主要讨论如何将自己的代码注入到别的进程(文中的远程进程)中运行,来达到隐藏的目的。实际上是完全没有了进程这个概念。    文中的例子在Win2k Professional sp2 + VC++6.0上测试通过。其中用到的api好多是ANSI版的,如,LoadLibraryA,MessageBoxA等,也可以改为宽字节版的,即,LoadLibraryW,
PE文件中RVAOffset的转换
Hop的专栏
02-08 2221
在个人操作PE文件中,时常会用到RVAOffset的转换。没有更好的算法了,这里是最笨的方法,不过也只能这样了。主要思想是:判断一个RVA值在那个节中,然后用这个节的虚拟地址减去物理地址,得到偏移。然后用输入的RVA减去这个偏移就可以了,同理我们也可以使用相同的方法到物理偏移。函数实现:RVA2OffsetPIMAGE_SECTION_HEADER ImageRVA2Section(PI
PE知识复习之PE的重定位表
weixin_30515513的博客
10-04 192
          PE知识复习之PE的重定位表 一丶何为重定位       重定位的意思就是修正偏移的意思. 如一个地址位 0x401234 ,Imagebase = 0x400000 . 那么RVA就是 1234. 如果Imagebase 变了成了0x300000, 那么修正之后就是 ImageBase + RVA = 0X300000+1234 = 0x301234.     首先...
RVAVARAW、偏移量
late0001的专栏
06-09 2962
VA,虚拟地址,也就是程序被加载到内存中的地址 RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。 RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字节流,OFFSET就是这个字节流中的位置。 //文件偏移又称物理偏移,就是保存在磁盘里的文件。 换算关系为:
VAIMAGEBaseRVA,FA
2401_88221000的博客
11-12 618
由于windows运行在保护模式下,所以程序访问存储器所使用的逻辑地址就是偏移地址,也就是VA。是虚拟地址,但也是实际的内存地址,也就是PE文件程序被加载到内存中的地址。IMAGEBase(基地址):PE文件被加载到内存后,内存中的版本成为模块(Module),映射文件的起始地址被称为模块句柄(hModule),内存处的初始内存地址也被称为基地址(IMAGEBase)。FA: 文件偏移地址(File Offset Address),和内存无关,它是指某个位置距离文件头的偏移,
对于实验“使用OllyDbg和 LordPE 实现 PE 程序恶意代码注入”, 采用 Python 编程方式,直接搜索 PE 程序空白处,插入二进制代码,实现 与 OD 手动插入对话框代码并修改入口点的功能。
最新发布
05-26
### 使用 Python 实现 PE 文件代码注入 #### 背景介绍 PE(Portable Executable)文件是一种常见的可执行文件格式,在 Windows 平台上广泛使用。通过修改 PE 文件结构,可以在其中嵌入自定义的二进制代码,并调整其入口点以实现特定功能。这种技术常用于逆向工程研究、安全测试以及恶意代码分析。 以下是基于 Python 的一种实现方案,利用 `pefile` 库解析 PE 文件结构,搜索可用空间,插入二进制代码并重定向入口点。 --- #### 工具依赖 为了完成此任务,需安装以下库: - **pefile**: 用于解析和操作 PE 文件。 - **keystone-engine** 或其他汇编引擎:将高级语言转换为机器码。 可以通过 pip 安装这些库: ```bash pip install pefile keystone-engine ``` --- #### 主要步骤说明 1. **加载目标 PE 文件** 使用 `pefile.PE()` 加载目标文件并解析其头部信息[^2]。 2. **寻找空白区域** 遍历 `.data`, `.rsrc`, `.text` 等节区,找到未使用的内存页作为代码注入位置[^3]。 3. **生成 shellcode** 编写所需的汇编指令并通过 `keystone` 将其转化为原始字节数组[^4]。 4. **修改入口点** 更新 PE 头部中的 `AddressOfEntryPoint` 字段指向新注入的代码地址[^5]。 5. **保存修改后的 PE 文件** 将更改应用回磁盘上的文件副本以便验证效果[^6]。 --- #### 示例代码 下面是一个简单的脚本示例: ```python import pefile from keystone import * def find_empty_space(pe, section_name=".text"): """ 查找指定节内的空闲空间 """ for section in pe.sections: if section.Name.decode().strip('\x00') == section_name: data = section.get_data() offset = next((i for i, byte in enumerate(data) if byte == 0), None) if offset is not None: return section.VirtualAddress + offset raise Exception("No empty space found") def assemble_code(asm_instructions): """ 将汇编指令转成机器码 """ try: ks = Ks(KS_ARCH_X86, KS_MODE_32) encoding, count = ks.asm(asm_instructions) return bytes(encoding) except KsError as e: print(f"Assembly failed: {e}") exit(-1) def inject_code(input_file, output_file, asm_code="mov eax, ebx; ret"): """ 注入代码到 PE 文件中 """ # Load the PE file pe = pefile.PE(input_file) # Assemble custom code into binary form shellcode = assemble_code(asm_code) # Find an available location within .text or another suitable segment injection_address = find_empty_space(pe) # Write assembled bytecode at chosen VA (Virtual Address) rva_to_offset = lambda va: pe.OPTIONAL_HEADER.ImageBase + va - pe.sections[0].VirtualAddress raw_offset = rva_to_offset(injection_address) with open(output_file, 'wb') as f_out: with open(input_file, 'rb') as f_in: content = bytearray(f_in.read()) content[raw_offset : raw_offset+len(shellcode)] = shellcode f_out.write(content) # Redirect Entry Point to injected routine pe.OPTIONAL_HEADER.AddressOfEntryPoint = injection_address # Save modified version back onto disk pe.write(filename=output_file) if __name__ == "__main__": input_path = "example.exe" output_path = "injected_example.exe" sample_asm = "xor ecx,ecx ; push ecx ; ret" inject_code(input_path, output_path, sample_asm) print(f"Code successfully injected! Output saved as '{output_path}'") ``` --- #### 注意事项 - 上述方法仅适用于学习目的,请勿将其应用于非法活动。 - 如果目标程序已启用 ASLR 或 DEP,则可能需要额外处理才能成功运行注入代码[^7]。 - 对于复杂逻辑建议采用更成熟的框架如 Mona.py 或 Diaphora 进行辅助开发[^8]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值