PE文件-VA-FOA的转换

最新推荐文章于 2024-12-24 22:58:20 发布

很酷很爱笑

最新推荐文章于 2024-12-24 22:58:20 发布

阅读量368

点赞数

分类专栏： PE文件文章标签：其他

本文链接：https://blog.youkuaiyun.com/weixin_45012273/article/details/121174845

版权

PE文件专栏收录该内容

7 篇文章

订阅专栏

博客介绍了虚拟地址、相对虚拟地址（RVA）和基地址的概念及关系，给出虚拟地址计算公式。还阐述了FOA文件偏移的含义，详细说明了如何将内存中的虚拟地址转换为文件中的FOA偏移，包括计算RVA、判断段归属及最终转换公式。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

虚拟地址,相对虚拟地址,基地址

基地址(base):文件被加载到内存中的位置

虚拟地址(VA):4GB虚拟空间中任意一个位置

相对虚拟地址(RVA):相对于加载基地址的偏移

公式:虚拟地址(VA) = 加载基址(IimageBase)+相对虚拟地址(RVA)

PE文件会有一个默认的加载地址可选头的第10个成员ImageBase,当这个位置被其他文件占用,操作系统将会把文件装载到其他位置

FOA文件偏移

就是文件没有加载到内存前相对于0位置的偏移,也就是文件的任何一个地址

转换

我们知道文件的数据和内存的数据是一一对应的,但是因为对齐不同,文件通常0x200字节对齐

文件通常为0x1000 导致文件被加载到内存以后变大了

现在我们在OD里面随便找一个数据看他的地址在通过这个地址找到文件中这个数据

00401122这个是加载到内存的地址他的数据是E8 2D000000

我们看00400000为我们的模块的加载基地址

相对虚拟地址 (RVA)= 虚拟地址(va) - 加载基地址(base)

1122(RVA) = 00401122(VA) - 00400000(base)

接下来要看1122是相对虚拟地址相对与BASE的偏移我们知道PE文件是有很多段的这个某一段也就是节表中(IMAGE_SECTION_HEADER)virtualAddress段起始的位置要看1122落在了哪一个段

这里不对段表做解析

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

直接看段表我们看到这个1122落在了.text段中

怎么看落在哪一个段条件为

if(1122>=virtualAddress && 1122=<virtualAddress+pointerRawData)

{

//命中

}

为什么加文件的大小数据映射到内存因为对齐值得不同导致内存要自行扩展内存自行扩展得一部分是没有真实得文件映射得所以要是给一个没有文件映射得RVA 文件中是没有这个数据得

我们分析这个段

内存开始得位置是00001000 一共在内存占用了00000184个字节

文件开始00000400 一共占用了200字节(对齐后)

.text段文件和内存只是开始的地方不同但是里面的数据相对于文件开始的偏移是相同的所以想找到文件中这个数据就要用1122 - 1000得到段内偏移再用段内偏移加文件中段开始的地方

400+122也就是我们的FOA

公式:FOA =RVA - RVA(区段)+FOA(区段)

FOA = 1122-virtualAddress+pointerToRawData

522 = 1122 - 1000 + 400

代码转换

// RVA 转 FOA
DWORD rva_to_foa(DWORD rva, PVOID file_buff)
{
	// 获取全部区段信息
	PIMAGE_DOS_HEADER dos_head = PIMAGE_DOS_HEADER(file_buff);
	PIMAGE_NT_HEADERS nt_head =
		PIMAGE_NT_HEADERS(dos_head->e_lfanew + (LONG)file_buff);
	// 获取文件头
	PIMAGE_FILE_HEADER file_head =
		PIMAGE_FILE_HEADER(&nt_head->FileHeader);
	// 区段数量
	DWORD count = file_head->NumberOfSections;
	// 获取到 第一个区段头信息  扩展头 + 自己的大小
	// 使用 宏 IMAGE_FIRST_SECTION 直接获取
	PIMAGE_SECTION_HEADER section_head = IMAGE_FIRST_SECTION(nt_head);
	// 循环遍历每一个区段
	for (int i = 0; i < count; i++)
	{
		// 先判断要计算的 RVA 在哪一个区段中
		// 因为有一些未初始化的变量存在，内存大小是大于文件大小的。
		// 所以我们应该是用的是文件大小来计算落在哪一个区间中
		if (rva >= section_head->VirtualAddress&&
			rva <= section_head->VirtualAddress + section_head->SizeOfRawData)
		{
			// 根据公式 RVA - 区段起始 VirtualAddress = FOA - 区段在文件中的起始偏移
			DWORD foa = rva - section_head->VirtualAddress 
				+ section_head->PointerToRawData;
			return foa;
		}
		
		section_head++;
	}

}