PE文件中RVA和Offset的转换

最新推荐文章于 2025-05-14 20:53:00 发布
原创 最新推荐文章于 2025-05-14 20:53:00 发布 · 2.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#header #dos #null #image #算法

在个人操作PE文件中,时常会用到RVA到Offset的转换。
没有更好的算法了,这里是最笨的方法,不过也只能这样了。

主要思想是:判断一个RVA值在那个节中,然后用这个节的虚拟地址减去物理地址,得到偏移。然后用输入
的RVA减去这个偏移就可以了,同理我们也可以使用相同的方法到物理偏移。

函数实现:RVA2Offset
PIMAGE_SECTION_HEADER ImageRVA2Section(PIMAGE_NT_HEADERS pimage_nt_headers,DWORD dwRVA)
{
 int i;
 PIMAGE_SECTION_HEADER pimage_section_header=(PIMAGE_SECTION_HEADER)((PCHAR(pimage_nt_headers)) + sizeof(IMAGE_NT_HEADERS));
 for(i=0;i<pimage_nt_headers->FileHeader.NumberOfSections;i++)
 {
  if((pimage_section_header->VirtualAddress) && (dwRVA<=(pimage_section_header->VirtualAddress+pimage_section_header->SizeOfRawData)))
  {
   return ((PIMAGE_SECTION_HEADER)pimage_section_header);
  }
  pimage_section_header++;
 }
 return(NULL);
}

DWORD RVA2Offset(PCHAR pImageBase,DWORD dwRVA)
{
 DWORD _offset;
 PIMAGE_SECTION_HEADER section;
 PIMAGE_DOS_HEADER pimage_dos_header;
 PIMAGE_NT_HEADERS pimage_nt_headers;
 pimage_dos_header = PIMAGE_DOS_HEADER(pImageBase);
 pimage_nt_headers = (PIMAGE_NT_HEADERS)(pImageBase+pimage_dos_header->e_lfanew);
 section=ImageRVA2Section(pimage_nt_headers,dwRVA);
 if(section==NULL)
 {
  return(0);
 }
 _offset=dwRVA+section->PointerToRawData-section->VirtualAddress;
 return(_offset);
}

 

RvaToFileOffset 内存偏移转成文件偏移(滴水课后作业)
hambaga的博客
05-10 736
题目说明 将内存偏移RVA转成文件偏移FOA的函数; 思路是遍历节表,比较节内存偏移VirtualAddressRVA,确定RVA所在的节之后,计算RVA距离所在节首地址的偏移offset,然后返回offset+PointerToRawData. 以xp的notepad.exe为例 .text节的文件偏移是400h,内存偏移是1000h,调用函数结果如下: printf("%x\n", RvaToFileOffset(pFileBuffer, 0x1000)); 函数源码 // 内存偏移RVA转成文
PE总结17--PE中的名词解释RVA,VA,File Offset
oBuYiSeng的博客
12-28 3272
RVA: (RelativeVirtual Address 简称RVA),RVA只是内存中的一个简单的相对于PE文件装入地址的偏移位置,或称为偏移量。 公式: 目标地址( 401000h) ---装入地址(Imagebase)400000h=RVA 1000h     VA:在PE用语里,实际的内存地址被称作虚拟地址(Virtual Address )简称VA。即OD里面能
RvaToOffset 函数实现
B_H_L的专栏
04-03 1848
DWORD RvaToOffset(PBYTE pMapping, DWORD dwRva) { IMAGE_DOS_HEADER *pidh = (IMAGE_DOS_HEADER *)pMapping; IMAGE_NT_HEADERS *pinh = (IMAGE_NT_HEADERS *)(pMapping + pidh->e_lfanew);
PE文件分析(一)——PE相关的一些基本概念
2301_76502660的博客
05-14 291
在学习PE文件分析之前,我们要了解一些与PE相关的一些基本概念,以方便后面的学习。
RVA转FOA(RAW)[两种方法]
个人笔记
05-21 636
RVA转FOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存中该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件中该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找出对应IMAGE_SECTION_HEADER内容 求出该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求出偏移量offset=RVA0-RV
PE文件解析(2):RVA与FOA转换区段表
ylh的博客
10-30 1342
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
PE32-RVA-FileOffset-master.rar
05-01
标题中的"PE32-RVA-FileOffset-master"暗示了这个压缩包可能包含与PE(Portable Executable)文件格式相关的代码或工具,特别是关于RVA(Relative Virtual Address)File Offset的概念。在Windows操作系统中,PE...
PE文件:VA、RVAFOA
weixin_43742894的博客
03-31 6873
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
PE文件的相对虚拟地址(RVA文件偏移地址(FOA)的转换
热门推荐
12-27 1万+
RVA(相对虚拟地址)FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的转换,是因为同一个文件在硬盘内存中的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)FileAlignment(文
PE学习----VA、RVA、File Offset
jyw1111的专栏
03-29 2381
参考了《Windows_PE权威指南》这本书 VA   (Virual Address)  虚拟地址   程序被载入od中 如该图显示的就是虚拟地址VA; RVA(Relative Virual Address)相对虚拟地址,表示此段代码在内存中相对于基地址的偏移。 File Offset 文件偏移地址 :当PE文件存储在磁盘上时,某个数据的位置相对于文件头的偏移量,称为文件地址。即C
windows PE文件格式笔记(二)RVAToFOV
一位非著名不专业的Re选手
12-11 928
什么是RVA,FOV RVA是相对虚拟地址,FOV是文件偏移 由于PE文件在磁盘上在内存中的对齐粒度不同,会导致同一个PE文件在磁盘上在内存中有两个不同的偏移,即,FOVRVA. 在PE格式中查看对齐粒度 PE文件在磁盘在内存的对齐粒度分别为: FileAlignment SectionAlignment 他们在PE扩展头中可以找到,PE扩展头的结构体: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields.
PE文件:(2)VA、RVAFileOffset的理解
weixin_43972499的博客
04-06 1989
PE文件基本概念文件对齐内存对齐RVAFileOffsetVA及重定向的概念 基本概念   在PE文件的学习中,我们经常看到RVA,VA,文件偏移,内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
我自己的PE文件RVA-VA-Offset心得
benny5609的专栏
06-18 2550
#   Name     Virt Size   RVA       Phys Size  Phys Off   Flags  --  -------- ---------  ---------  ---------  ---------  --------- 01  .text     0000CCC0   00001000   0000CE00   00000600   600
RVA VA ImageBase RAW offset关系
ccchu的专栏
08-17 1630
RVA VA ImageBase RAW offset关系 RVA:relative virtrual address VA:virtrual address ImageBase:基地址 RAW offset:物理地址,也就是磁盘文件上的文件偏移地址(File offset)   PE文件在内存中时: 虚拟地址(VA)=基地址(ImageBase)
【转】RVA、VA、Offset
weixin_30698297的博客
12-26 302
对于变量A来说:File_Offset就是磁盘文件中A的位置。File_Offset=VA-ImageBase-VRk=RVA-VRkImageBase就是文件加载到内存的起始位置。ImageBase=VA-RVA多为:0x00400000,0x01000000Entr...
pe文件对齐
goat_2003的博客
06-08 4309
内存对齐与文件对齐 一个pe文件无论在磁盘内存中存放都会进行对齐,但他们的对齐值会不相同。 PE 文件头里边的FileAligment 定义了磁盘区块的对齐值。每一个区块从对齐值的倍数的偏移位置开始存放。而区块的实际代码或数据的大小不一定刚好是这么多,所以在多余的地方一般以00h 来填充,这就是区块间的间隙。 PE 文件头里边的SectionAligment 定义了内存中区块的对齐值。PE 文件被映射到内存中时,区块总是至少从一个页边界开始。 rva与fov的相互转换 RVA与FOV的相互转换 为.
PE文件RVA-VA-Offset
ooyyee的专栏
01-12 2151
VA    |   Memory    |           Offset  | Disk Files  |          |             |                   |             | 00400000 +-------------+          | DOS Header  |                   | DOS Header
python库pefile分析DLL文件中的函数
最新发布
06-06
<think>我们使用pefile库来解析DLL文件,提取函数列表(包括导出函数导入函数)步骤:1.安装pefile库(如果尚未安装)2.加载DLL文件3.解析导出函数列表(该DLL提供给其他程序使用的函数)4.解析导入函数列表(该DLL从其他DLL中导入的函数)根据引用[1][2],我们知道PE文件中导出表导入表的位置可以通过DataDirectory数组来定位。pefile库已经帮我们封装了这些细节。注意:用户要求的是提取DLL中的函数列表,包括导出函数导入函数。我们将分别提取:-导出函数:使用pefile的DIRECTORY_ENTRY_EXPORT来获取-导入函数:使用pefile的DIRECTORY_ENTRY_IMPORT来获取由于一个DLL可能会导入多个其他DLL的函数,所以导入函数需要按DLL分组。示例代码:</think> 要使用 `pefile` 库解析 DLL 文件并提取函数列表,可以按照以下步骤操作: ### 1. 安装 pefile 库 ```bash pip install pefile ``` ### 2. 提取导出函数列表 ```python import pefile # 加载DLL文件 pe = pefile.PE("target.dll") # 检查是否有导出表 if hasattr(pe, 'DIRECTORY_ENTRY_EXPORT'): # 遍历导出函数 for export in pe.DIRECTORY_ENTRY_EXPORT.symbols: # 获取函数名(若存在) if export.name: print(f"导出函数: {export.name.decode('utf-8')}") # 获取函数地址(RVA) print(f"RVA地址: 0x{export.address:X}") ``` ### 3. 提取导入函数列表 ```python # 检查是否有导入表 if hasattr(pe, 'DIRECTORY_ENTRY_IMPORT'): # 遍历所有导入的DLL for entry in pe.DIRECTORY_ENTRY_IMPORT: dll_name = entry.dll.decode('utf-8') print(f"\n导入自: {dll_name}") # 遍历当前DLL的所有导入函数 for imp in entry.imports: if imp.name: print(f" 函数: {imp.name.decode('utf-8')}") ``` ### 关键结构说明(参考引用[2]) 1. **导出表** - 位于 `DataDirectory[0]`(导出表索引) - 包含函数名RVA地址(相对虚拟地址) 2. **导入表** - 位于 `DataDirectory[1]`(导入表索引) - 每个条目包含: - DLL名称 - 导入函数名数组 - 函数地址指针数组(IAT) 3. **地址转换** - 使用 `pe.get_rva_from_offset()` 转换文件偏移到RVA - 使用 `pe.get_physical_by_rva()` 转换RVA文件偏移 ### 完整示例输出 ```plaintext 导出函数: CreateToolhelp32Snapshot RVA地址: 0x1234 导出函数: Process32First RVA地址: 0x12A0 导入自: KERNEL32.dll 函数: LoadLibraryA 函数: GetProcAddress 导入自: USER32.dll 函数: MessageBoxA ``` ### 注意事项 1. **名称解码**:函数名使用 UTF-8 解码,部分可能需尝试 `latin-1` 2. **无名称函数**:序号导出的函数需检查 `ordinal` 字段 3. **内存地址**:`address` 字段需加上 `pe.OPTIONAL_HEADER.ImageBase` 得实际内存地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值