PE文件格式的RVA概念

最新推荐文章于 2025-05-14 20:53:00 发布
转载 最新推荐文章于 2025-05-14 20:53:00 发布 · 2.4k 阅读 · 1
文章标签:

#header #image

我们常说的RVA,很容易让我们理解成这是相对于节的RVA,其实不然。
要理解RVA的概念,首先还必须理解Section Header结构(由Section Header构成节表)。
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

注意其中的VirtualAddress和PointerToRawData,这两个都是节的起始地址。不同之处在于:
VirtualAddress用在内存中指明该节的起始地址,而PointerToRawData用在文件中指明该
节的起始地址。


由于文件的对齐值和内存的对齐值不一样,所以,如果以直接用RVA(即iRVA)去定位的话,那么,可能是错误的。

这个RVA我把它分成三种情况,在不同情况下计算得出的RVA各给个名字:
为了方便理解,使用例子数据来说明。
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];  // .text
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;    // 00069f9b
    } Misc;
    DWORD   VirtualAddress;      // 00000540
    DWORD   SizeOfRawData;      // 00069fc0
    DWORD   PointerToRawData;      // 00000540
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;      // 68000020
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
整理成和LordPE的形式如下:
名称Name  VOffset    VSize    ROffset    RSize    标志
.text    0000540    00069f9b  00000540  00069fc0  68000020

虚拟地址VA = 00049586,ImageBase = 00040000

1、该RVA是以ImageBase为参考的,即是通过RVA=VA - ImageBase = 00049586-00040000=9586 我们称其为iRVA(我们常说为RVA)
2、该RVA是以VOffset(如.text节的起始地址)为参考的,即是通过RVA=VA - VOffset,我们称其为mRVA(内存节偏移)
3、真正的文件偏为fRVA

我们很清楚的知道,唯有它们以节的起始地址为参考的相对偏移才是固定的。我们就根据这个来计算。
我们以VA=00049586为例子,为了得到它的文件偏移,我们需要经过以下的步骤:
先把VA转换成iRVA,即iRVA = VA - ImageBase = 00049586-00040000=9586
把iRVA转换成mRVA,即mRVA = iRVA - VOffset = 9586-540=9046
得到了mRVA后,就很容易得到fRVA了,fRVA = mRVA+ROffset = 9046+540=9586
所以,VA=00049586的文件偏移为fRVA=9586
上面由于ROffset和VOffset值一样,所以,你别以为直接计算就行了。
最后总结:
1、虚拟地址转文件偏地址fRVA
fRVA = mRVA + ROffset

由于mRVA = iRVA - VOffset
   再由于iRVA = 虚拟地址 - ImageBase
所以,mRVA = (虚拟地址 - ImageBase) - VOffset

所以,fRVA = (虚拟地址 - ImageBase) - VOffset + ROffset

最终得到:
fRVA = (虚拟地址 - ImageBase) - VOffset + ROffset

一个简单的代入法!

2、RVA转文件偏移地址fRVA
同上

-辰墨-
关注
pe格式从入门到图形化显示(五)-RVA和FOA
Mrack的博客
04-07 663
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式RVA(相对虚拟地址)和FOA(文件偏移地址)是用于描述文件在内存和磁盘中的位置的概念RVA是相对于PE文件载入地址的偏移位置,它是一个相对的地址(偏移)。当PE文件在磁盘中时,某个数据位置相对于文件头的偏移量称为文件偏移地址(FOA)。RVA在程序加载到内存时被使用,它指向程序在内存中的虚拟地址。FOA在程序未加载到内存时被使用,它指向程序在磁盘上的文件偏移量。
PE文件格式详解
音视频图形编程学习乐园
09-01 2114
本文描述了Windows系统的PE文件格式
PE中FOAToRVARVAToFOA
tzwj1983的博客
03-19 1353
FOAToRVA
PE文件分析(一)——PE相关的一些基本概念
最新发布
2301_76502660的博客
05-14 292
在学习PE文件分析之前,我们要了解一些与PE相关的一些基本概念,以方便后面的学习。
计算机原理-ACC 等14个指令缩写
Java学习
03-19 1万+
14个指令缩写   CPU、PC、IR、CU、ALU、ACC、MQ、X、MAR、MDR、I/O、MIPS、CPI、FLOPS   解:全面的回答应分英文全称、中文名、中文解释三部分。   CPU——Central Processing Unit,中央处理机(器),见7题;   PC——Program Counter,程序计数器,存放当前欲执行指令的地址,并可自动计数形成下一条指令地址的计数器;...
PE文件解析(2):RVA与FOA转换和区段表
ylh的博客
10-30 1342
PE文件的相对虚拟地址是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h。: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。文件偏移地址,和内存无关,它是指某个位置距离文件头的偏移。一个程序的各段在内存和文件中的对齐方式是不一样的。FOA:文件对齐值是0x200。
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
总之,这份PDF和源码集合提供了一个深入学习PE文件格式的平台,不仅包括理论知识,还有实际的工具来验证和探索这些概念。对于希望深入理解Windows系统工作原理和软件开发的IT专业人士来说,这是一个宝贵的资源。通过...
PE文件:VA、RVA和FOA
weixin_43742894的博客
03-31 6876
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
PE文件格式(二)
周星星的博客
10-20 2442
EAT是一种核心机制,它使不同的应用程序可以调用库文件中提供的函数。也就是说,只有通过EAT才能准确求得从相应库中导出函数的起始地址。
PE32-RVA-FileOffset-master.rar
05-01
RVA和File Offset是PE文件结构中的两个关键概念。 1. **PE文件格式**:这是Windows系统中用于存放可执行代码和数据的文件格式,由Microsoft设计。它包含了头文件、节区、导入/导出表等信息。 2. **Relative ...
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 910
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件在文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
相对虚拟地址RVA与虚拟地址VA介绍
SXXYNHHXX的博客
09-01 1474
RVA的值是相对于模块起始位置的偏移量,需要加上模块的基址才能得到真正的虚拟地址。虚拟地址(VA)是进程在虚拟地址空间中的地址,通过操作系统的内存管理单元将其映射到物理地址,实现对内存的访问。当模块被加载到进程的虚拟地址空间时,操作系统将模块的基址与RVA结合,生成对应的虚拟地址。相对虚拟地址(Relative Virtual Address,RVA)和虚拟地址(Virtual Address,VA)都是在操作系统和计算机体系结构中使用的概念,用于表示内存中的地址。
PE之FOA与RVA互相转换过程与C语言实现
qq_35289660的博客
05-21 1744
文章目录说明一、FOA和RVA二、RVA转为FOA1.大致步骤2.特殊情况3.C语言实现函数功能三、FOA转为RVA1.大致步骤2.特殊情况3.C语言实现函数功能 说明 看滴水的视频写学习笔记总结 语言:c/c++ 编译环境:vc++6.0 C语言函数中定义的结构类型来自于头文件windows.h 准确的说,定义的PE的结构体类型的所有数据都来自与头文件winnt.h,只不过windows.h内部声明了winnt.h 一、FOA和RVA 缩写 英文全称 含义 FOA File Offset
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 35万+
简述: PE文件结构分为五个部分: DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
内存偏移(RVA)与文件偏移(offset)相互转换
SauceJ的专栏
09-19 4225
写此文源于前一阵写一个PE修改工具,需要用到内存偏移向文件偏移转化。
理解PE文件相对虚拟地址(RVA)到文件偏移的转换
松哥(jccz_zys)的专栏
03-12 1万+
        关于PE文件格式的详细描述在网络上可以找到一大堆,最近有空,我也来研究一把。读了很多参考资料,应该说都讲得非常清晰,尤其是看雪学院的iamgufeng翻译的那篇文章,读来受益非浅。       根据我这个菜鸟的阅读感受与实践来说来看,我觉得根据RVA正确换算出到数据相对文件的偏移这个细节这些文章都没有做过多的说明,而这是我唯一化比较多时间来思考的地方。下面我就说说我对此的理解,
VA,IMAGEBase,RVA,FA
2401_88221000的博客
11-12 534
由于windows运行在保护模式下,所以程序访问存储器所使用的逻辑地址就是偏移地址,也就是VA。是虚拟地址,但也是实际的内存地址,也就是PE文件程序被加载到内存中的地址。IMAGEBase(基地址):PE文件被加载到内存后,内存中的版本成为模块(Module),映射文件的起始地址被称为模块句柄(hModule),内存处的初始内存地址也被称为基地址(IMAGEBase)。FA: 文件偏移地址(File Offset Address),和内存无关,它是指某个位置距离文件头的偏移,
PE总结17--PE中的名词解释RVA,VA,File Offset
oBuYiSeng的博客
12-28 3272
RVA: (RelativeVirtual Address 简称RVA),RVA只是内存中的一个简单的相对于PE文件装入地址的偏移位置,或称为偏移量。 公式: 目标地址( 401000h) ---装入地址(Imagebase)400000h=RVA 1000h     VA:在PE用语里,实际的内存地址被称作虚拟地址(Virtual Address )简称VA。即OD里面能
汇编语言与PE文件格式分析
04-28
### 汇编语言与PE文件格式的关系 汇编语言是一种低级编程语言,它直接对应于计算机硬件指令集。通过汇编语言可以实现对二进制文件的精确控制和操作。PE(Portable Executable)文件格式是Windows操作系统使用的可执行文件标准,其内部结构复杂且层次分明。 #### 1. PE文件的基本组成 PE文件由多个部分构成,主要包括以下几个方面[^2]: - **DOS头**: 这是一个简单的头部结构,用于兼容旧版本的操作系统。 - **NT头**: 包含文件头和可选头,描述了整个PE文件的关键属性。 - **节表**: 列出了各个节的名字及其特性。 - **节数据**: 实际存储程序代码、资源和其他数据的部分。 这些组成部分可以通过汇编语言逐一访问并解析。 #### 2. 使用汇编语言解析PE文件的方法 要利用汇编语言来解析PE文件,通常需要遵循以下逻辑流程: ```assembly section .data peFile db 'example.exe', 0 ; 文件名字符串 fileHandle dd 0 ; 文件句柄变量 section .bss buffer resb 4096 ; 缓冲区预留空间 section .text global _start _start: mov eax, 5 ; sys_open 系统调用号 (Linux) mov ebx, peFile ; 文件路径地址 mov ecx, 0 ; O_RDONLY 打开模式只读 int 0x80 ; 中断请求内核服务 cmp eax, 0 ; 检查返回值是否小于零表示错误 jl error_exit ; 如果有错跳转到error_exit处理 mov [fileHandle], eax ; 将打开成功后的fd保存起来 read_dos_header: mov eax, 3 ; sys_read 系统调用号 mov ebx, [fileHandle] ; fd 文件描述符 lea ecx, [buffer] ; buf 存储位置指针 mov edx, 64 ; count 需要读取字节数量(假设dos header长度为64byte) int 0x80 ; 请求中断完成读入动作 parse_nt_headers: add ecx, offset_to_NT_Header ; 计算偏移至NT Header处 ... ``` 此代码片段展示了如何使用汇编语言加载一个PE文件,并尝试定位到它的`DOS头`以及进一步寻找`NT头`的位置[^1]。 #### 3. 关键概念解释 - **RVA (Relative Virtual Address)**: 是相对于映像基址的一个相对虚拟地址,在分析PE文件时非常重要,因为它帮助我们找到特定的数据项所在内存中的确切位置。 - **Section Table**: 描述了PE文件中不同区域的信息,比如`.text`, `.rdata`, 和`.idata`等各段的具体情况[^3]。 ### 结论 通过对PE文件的学习和理解,配合汇编语言的强大功能,能够深入探索Windows平台下各种应用程序的工作原理和技术细节。这不仅有助于提高逆向工程能力,也加深了对于现代软件架构的认识水平。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值