PE中FOAToRVA和RVAToFOA

最新推荐文章于 2023-12-17 14:49:21 发布
原创 最新推荐文章于 2023-12-17 14:49:21 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PE

本文介绍了在PE文件中进行FOA(File Offset Address)与RVA(Relative Virtual Address)之间的相互转换方法。通过具体算法实现了如何根据不同区域定位并计算地址偏移,对于理解PE文件结构及内存映射具有重要意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

FOAToRVA

//pFileBuffer是传进PE文件的起始指针、dwRva是传进要修改的FOA的值
DWORD  FOAToRVA(LPVOID pFileBuffer,DWORD dwRva)  //LPVOID相当于VOID* 
{  
    int i;
    /*判该FOA是位于Section中还是位于HEADERS中(如果RVA是小于第一个区块的PointerToRawData,
    那么它在文件中的偏移和在内存镜像中的偏移是一样的,都是应该小于SizeOfHeaders*/
    if(dwRva<pSectionHeader->PointerToRawData)
    {
        return dwRva;
    }
    /*判断FOA在那个区块里*/
    for(i=0;i<pFileHeader->NumberOfSections;i++)
    {
    if((dwRva>=pSectionHeader->PointerToRawData)&&
    (dwRva<(pSectionHeader->PointerToRawData+pSectionHeader->SizeOfRawData)))
        {
        //区块里FOA转RVA公式
            dwRva=pSectionHeader->VirtualAddress+dwRva-pSectionHeader->PointerToRawData;
       // pSectionHeader是全局变量,还原初值,以便其他函数的调用  
            pSectionHeader=(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pFileHeader->SizeOfOptionalHeader);
            return dwRva;
        }
        pSectionHeader++;
    }
}

RVAToFOA

//pFileBuffer是传进PE文件的起始指针、dwRva是传进要修改的RVA的值
DWORD  RVAToFOA(LPVOID pFileBuffer,DWORD dwRva)  
{  

    int i;
    //判该RVA是位于Section中还是位于HEADERS中(RVA是小于第一个区块的VirtualAddress的那么它在文件中的偏移和在内存镜像中的偏移是一样的,都是应该小于SizeOfHeaders)
    if(dwRva<pSectionHeader->VirtualAddress){
        return dwRva;
    }
    /*判断RVA在那个区块里*/

for(i=0;i<pFileHeader->NumberOfSections;i++)
{
        if((dwRva>=pSectionHeader->VirtualAddress)&&
        (dwRva<(pSectionHeader->VirtualAddress+pSectionHeader->SizeOfRawData)))
        {
        //区块里RVA转FOA公式
            dwRva=pSectionHeader->PointerToRawData+dwRva-pSectionHeader->VirtualAddress;
        // pSectionHeader是全局变量,还原初值,以便其他函数的调用   
            pSectionHeader=(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pFileHeader->SizeOfOptionalHeader);
            return dwRva;
        }
        pSectionHeader++;
    }

}
滴水逆向——RVA与FOA相互转换
sunr.
04-07 3564
(开始这段别人总结的比较好,我就拿来用了) 1.RVA2FOA 即我们现在知道内存状态下的偏移,需要找到文件状态下的偏移。 步骤如下图: step1:内存中的地址减去内存基址得到偏移,即RVA。 step2:循环遍历节表中各个节的信息,判断在哪个节中。(需要满足:内存偏移+节数据没对齐的大小>image_panyi>内存偏移) step3:找出在哪个节后,减去该节在内存中的偏移...
PE 之导入表解析注入
windows小菜鸡的博客
08-19 732
1、导入表 导入表是在可选PE头得数据目录项得第二项 其结构如下 其中name是一个RVA,是DLL的名字 OriginalFirstThunk指向INT表,为 IMAGE_THUNK_DATA32的结构。这个结构的值中如果最高位为1 ,那么除去最高位的值函数的导出序号,否则为指向IMAGE_IMPORT_BY_NAME的RVA 其结构如下 其中Hint值无关紧要。 ** FirstThunk** 指向的是IAT表,其内容结构与OriginalFirstThunk指向的INT表一模一样 2、程序启动
RVA-FOA转换工具
09-29
一个简单的RVA-FOA转换工具。
RVA转换FOA
qq_45694932的博客
07-19 1617
RVA->FOA 已知内存地址adress 1、如果RVA属于头(DOS+NT)那么不需要进行计算了.因为头在文件中根内存中都是一样展开的.直接从开始位置寻找到RVA个字节即可。 2、如果不在头,就要判断在那个节里面. 判断节开始位置.跟结束位置. 我们的RVA在这个值里面. adress-ImageBase-VirtualAddress=该内存地址在该节的相对偏移值 FOA=该内存地址在该节的相对偏移值+PointerTORawDATA FOA->RVA FOA-PointerTORawDAT
PE文件格式的RVA概念
04-14 1407
我们常说的RVA,很容易让我们理解成这是相对于节的RVA,其实不然。要理解RVA的概念,首先还必须理解Section Header结构(由Section Header构成节表)。typedef struct _IMAGE_SECTION_HEADER {    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];    union {            DWORD   
RVA到FOA的转换
qq_58405021的博客
12-20 1341
RVA到FOA的转换
RVA与FOA的转换
weixin_43754657的博客
12-17 1965
RVA与FOA的转换
PE之移动导出表
windows小菜鸡的博客
08-18 730
1、移动各种表的目的 (1)在程序启动时,系统会根据导入导出表等进行初始化工作。为了保护程序,一般会对exe程序的二进制进行加密等工作,但是一旦将这些表也进行了加密,那么系统在初始化的时候没办法找到这些表,也无法启动程序。 (2)在对程序加密之前,需要对一些关键的表进行移动后,再对原来的数据进行加密,这样才不能破坏原来的程序。 (3)学会移动各种表,是对程序加密/破解的基础。 2、如何移动导出表 上一篇文章,提到了如何对导出表进行解析,导出表的结构如图下。 导出表的位置是在可选PE头的第一项,如图,我们可
PE课后作业参考代码(含测试代码)
hambaga的博客
05-20 1816
2020年5月20日 13:14:10 PEToolkit.cpp #include "headers.h" // 读取PE文件到内存中,返回读取的字节数;读取失败返回0 DWORD ReadPEFile(LPCSTR lpszFile, LPVOID *pFileBuffer) { FILE *pFile = NULL; DWORD dwFileSize = 0; pFile = fopen(lpszFile, "rb"); if (pFile == NULL) { printf("打开
PE工具函数(新)
hambaga的博客
07-14 861
编译环境:32位 多字节字符集 PE.hpp #ifndef PE_HPP_ #define PE_HPP_ /******************************************************************************** 时间:2020年7月14日 作者:hambaga 说明:重新整理的PE工具函数,仅适用于32位程序 ********************************************************************
滴水三期逆向基础系列(番外)-RVA转FOA
henuyl的博客
04-26 404
size_t RVAToFOA( size_t x, PVOID memoryBuff ){ PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS inh = NULL; PIMAGE_FILE_HEADER ifh = NULL; PIMAGE_OPTIONAL_HEADER ioh = NULL; PIMAGE_SECTION_HE...
滴水逆向作业——RVA与FOA相互转换
weixin_44584614的博客
02-20 2417
PE有两种不同的状态:1.FileBuffer文件状态 2.ImageBuffer内存状态。 当需求为:改变一个变量的值,知道它在内存状态下的地址,我们需要找到他在文件状态下的地址对它进行修改。或者反之,我们知道它在文件状态下的地址、找出他在内存状态下的地址。就需要RVA与FOA相互转换。 RVA与FOA相互转换主要会使用到节表中的信息,所以我们先需要复习一下节表中的信息。 节表 节表存在于可选P...
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 910
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件在文件对齐内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
RVA的值转换成FOA(C语言)
最新发布
qq_53613951的博客
12-17 476
RVA的值转换成FOA
手工解析PE(RVA转FOA)
GNAIXGNAHZ的博客
06-04 311
手工解析PE RVA 转 FOA
7.PE文件之RVA与FOA转换
kernelhack
10-27 5578
PE文件头PE内存映像的文件头大小是一样的.节的数据在内存磁盘文件的大小是不一样的,节表项记录了内存映像中节的起始RVA(IMAGE_SECTION_HEADER -> VirtualAddress),也同样记录了本节在文件中的起始偏移FOA(IMAGE_SECTION_HEADER -> PointerToRawData).由于节在内存中是线性排列的,因此如果找到下一个节的内存起始RVA就能知道上一个节的大小,所有的节组合起来就是PE中除去文件头以外的内容,而文件头在磁盘文件中内存中是没
【2021.01.14】RVA与FOA的转换
oalken的博客
01-14 424
RVA与FOA RVA:相对虚拟地址 FOA:文件偏移地址 如果想改变一个全局变量的初始值,该怎么做? 有初始值的全局变量没有初始值的全局变量是有区别的,没有初始值的全局变量在PE文件中根本没有它的位置。 只有当被文件被载入到内存中以后,才会给其变量分配内存地址存放它的值。 而有初始值的全局变量,它的初始值是存放在PE文件中的。 面临的问题是什么? 知道了全局变量的内存地址后,不能直接拿着该变量的地址去PE文件中搜索,因为在内存中展开的PE文件在文件中的PE文件它们的对齐方式是不同的。
RVA转FOA(RAW)[两种方法]
个人笔记
05-21 637
RVA转FOA(RAW)方法一(普通方法)方法二(变式) 需要数据: IMAGE_SECTION_HEADER.VirtualAddress //内存中该节起始的RVA IMAGE_SECTION_HEADER.PointerToRawData //文件中该节起始的偏移 方法一(普通方法) 判断RVA落在哪个节内,找出对应IMAGE_SECTION_HEADER内容 求出该节的起始RVA0=IMAGE_SECTION_HEADER.VirtualAddress 求出偏移量offset=RVA0-RV
RVA-FOA转换工具:简化地址转换流程
实现RVA到FOA的转换通常需要了解PE文件的结构文件头中存储的信息。以下是一个简化的转换过程: 1. 解析PE文件头,找到节表(Section Table)。 2. 根据RVA定位到对应的节(Section)。PE文件中的节描述了程序代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值