VA转换FileOffset

最新推荐文章于 2021-12-16 23:03:08 发布
最新推荐文章于 2021-12-16 23:03:08 发布
阅读量341 收藏
点赞数
分类专栏: Disassemble
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011504257/article/details/48912695
版权


VA转换FileOffset

分类: 逆向反汇编 2013-09-27 10:53 311人阅读 评论(0) 收藏 举报
病毒 蠕虫


将VA转换成FileOffset地址,先用VA-400000得到RVA,RVA-RVA所在节的起始地址[虚拟地址](RVA所在节的起始地址通过PEID软件获得),得到偏移地址。通过PEID软件获得获得RVA所在节的起始地址[文件偏移地址]。用这个地址和前面获得的偏移地址相加即可得到最终需要的地址。用HexWorkshop对这个地址进行修改即可。

 

EXAMPLE:

  1. 401010(VA)-400000=1010(RAV)
  2. 1010-1000(.textV偏移的起始地址)=10(RAV')
  1. 10+400(.text的文件偏移的起始地址)=410
  1. HEX WORKSHOP410处和IDA401010处发现了吻合

 

Eg :蠕虫病毒


【例0525】convert selected annotation to lines and simple text 将选定的注释转换为线条和简单文本
王牌飞行员_里海的博客
05-30 395
convert selected annotation to lines and simple text 将选定的注释转换为线条和简单文本》这是一个NX二次开发官方小例子,下面是代码和解析。相较于混乱、未经验证的代码,官方案例能够确保开发者获得准确的开发方法,这些官方示例代码经过严格测试,能够正确地反映出NX软件的功能和API使用方式,有助于开发者系统地掌握NX二次开发技能,提高开发质量和效率。本专栏订阅后是永久阅读的。欢迎一起学习NX二次开发案例,逐步积累宝贵的经验,早日成为行业专家。
PE文件的内存映射
做一个快乐学习者
10-13 2060
如果想要理解PE文件与虚拟内存之间的映射关系,首先要理解一些概念: 1.文件偏移地址(file offset) PE文件数据在硬盘中存放的地址就叫做文件偏移地址。用winhex程序查看文件时的offset就是文件偏移地址了。文件偏移地址就是指文件在磁盘上存放时相对于文件开头的偏移。 2.装载基址(image base) 装载基址就是指pe文件装入内存时的基地址,一般情况下,EXE文件的装载基址...
攻防世界debug
qq_48274326的博客
12-24 439
攻防世界debug ida不能反编译出来 PEID查壳后 显示为NET文件,所以这次我们用dnspy 参考: 指令大全 https://www.cnblogs.com/zery/p/3368460.html dnspy 使用总结 https://blog.youkuaiyun.com/yuqian123455/article/details/85038617 using System; using System.Security.Cryptography; using System.Text; // Token:
ida中如何将汇编语言转为c,[求助]如何成功的用IDA转换一小段汇编成C++
weixin_29692851的博客
05-24 5538
昨天看了一篇帖子《使用ida对任意一段机器码进行反汇编》我想用记事本写了一段C++代码,然后用winhex打开,选取所有保存为exe文件;C++代码很简单,如下:#includeusingnamespacestd;voidmain(){inta,b;intc=a+b;cout<}对winhex的操作是正确的,如下表:然后用IDA打开新生成的1.exe(不知道是不是要特殊的编译器比...
20.IDA-修改二进制文件、显示修改点
墨痕诉清风的博客
02-21 2743
Edit▶Patch Program菜单是GUI版本的IDA的一项隐藏功能,用户需要编辑idagui.cfg配置文件才能激活该菜单。这个文件的第一行是注释,第一行是最初的二进制文件的名称,随后则是文件中被修改的字节列表。每一行都指出被修改的字节的。然后,IDA会将得到的指令字节写入当前的屏幕位置。这个对话框显示了从光标所在位置开始的16个字节的值。你可以更改显示的部分或全部字节。DIF文件是一个纯文本文件,其中列出了一个IDA数据库中所有被修改的字节。用于编辑IDA数据库中的字节值。以及字节在数据库中的。
安卓平台FFmpeg播放mp4文件出现stream 1, offset 0x28: partial file的解决办法
不忘初心
09-05 6414
     项目中用到了bilibili的开源播放器ijkplayer,从http服务器上播放一段手机录制的mp4视频时候出现了如下的播放错误: 08-30 08:41:38.507 27887-28085/ E/IJKMEDIA: Option max-buffer-size not found. 08-30 08:41:38.507 27887-28083/ D/IJKMEDIA: FFP_...
【PE学习----VARVA、File Offset
jyw1111的专栏
03-29 2360
参考了《Windows_PE权威指南》这本书 VA   (Virual Address)  虚拟地址   程序被载入od中 如该图显示的就是虚拟地址VARVA(Relative Virual Address)相对虚拟地址,表示此段代码在内存中相对于基地址的偏移。 File Offset 文件偏移地址 :当PE文件存储在磁盘上时,某个数据的位置相对于文件头的偏移量,称为文件地址。即C
RVA-FOA转换工具
09-29
在IT领域,RVA(Relative Virtual Address)和FOA(File Offset Address)是两种与程序内存管理和文件存储相关的地址概念,通常在逆向工程、软件调试以及系统编程中被广泛讨论。RVA-FOA转换工具是这类软件开发和分析...
PE文件:VARVA和FOA
weixin_43742894的博客
03-31 6585
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
偏移量转换工具,将文件偏移转换为内存偏移
08-13
用OD做免杀时要先将定位出来的特征码地址进行转换才能载入OD
linux C复习:文件操作(偏移量)
jhe_zhang-blog
08-15 9240
通过函数lseek可以改变文件当前
《0day安全:软件漏洞分析技术 第二版》第一章 基础知识 —— 学习笔记
qq_37331561的博客
12-16 786
一. 二进制文件概述 1.1 PE文件格式 PE文件格式把可执行文件分成若干个数据节(section),分别如下: .text: 由编译器产生,存放着二进制的机器代码,也是反汇编和调试的对象 .data: 初始化的数据块,如宏定义、全局变量、静态变量等 .idata: 可执行文件所使用的动态链接库等外来函数与文件的信息 .rsrc: 存放程序的资源,如图标、菜单等 除上以外,还可能有: .reloc、.edata、.tls、.rdata。 如果可执行文件经过了"加壳"处理,PE的节信息将变得非常
RVAVA、RAW、偏移量
late0001的专栏
06-09 2831
VA,虚拟地址,也就是程序被加载到内存中的地址 RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。 RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字节流,OFFSET就是这个字节流中的位置。 //文件偏移又称物理偏移,就是保存在磁盘里的文件。 换算关系为:
RVA-相对虚拟地址解释
happylife1527的专栏
10-15 1503
http://www.cnblogs.com/SkyMouse/archive/2012/05/09/2493470.html RVA是相对虚拟地址(Relative Virtual Address)的缩写,顾名思义,它是一个“相对”地址,也可以说是“偏移量”,PE文件的各种数据结构中涉及到地址的字段大部分都是以RVA表示的。 准 确地说,RVA就是当PE文件被装载到内存中后,某个数据的位置相
PE文件
##
11-19 767
PE文件格式是可执行文件的数据格式(.dll、.exe) .text:由编译器产生,存放二进制的机器指令,是反汇编和调试的主要对象 .data:初始化的数据块,如宏定义,全局变量等 .idata:使用DLL等外来函数与文件的信息,即输入表 .rsrc:存放程序的全部资源,如图标、菜单、位图等 虚拟内存物理内存:进入windows内核级别ring0才能看到 虚拟内存:调试器中看到的内存地
PE文件偏移地址分析
weixin_44723038的博客
11-11 1650
实验环境:Windows 10,LordPE,PEView PE文件结构:PEview打开PE文件,可观察到PE文件的结构,由MZ文件头、DOS插桩程序、节表头、节(.text,.rdata,.data,.idata,.reloc)组成。 PE文件被执行后,PE装载器首先检查MZ头及DOS头是否有签名,从而判定该PE文件是否有效,再读入PE头的总体信息,接着读取节表中的节信息,映射至内存,再根...
evo轨迹评估slam轨迹
最新发布
02-12
evo_ape kitti est_file gt_file -va --plot ``` #### 相对姿态误差(RPE)评估 除了整体定位准确性外,局部运动连贯性的检验同样不可或缺。此时便轮到了`evo_rpe`上场——专门负责衡量相邻时刻间预测变换矩阵的质量...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值