/************************************************************************/

/*

功能:虚拟内存相对地址和文件偏移的转换

参数:stRVA:    虚拟内存相对偏移地址

lpFileBuf: 文件起始地址

返回:转换后的文件偏移地址

*/

/************************************************************************/

size_t RVAToOffset(size_t stRVA, PVOID lpFileBuf)

{

    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)lpFileBuf;

    size_t stPEHeadAddr = (size_t)lpFileBuf + pDos->e_lfanew;

    PIMAGE_NT_HEADERS32 pNT = (PIMAGE_NT_HEADERS32)stPEHeadAddr;

    //区段数

    DWORD dwSectionCount = pNT->FileHeader.NumberOfSections;

    //内存对齐大小

    DWORD dwMemoruAil = pNT->OptionalHeader.SectionAlignment;

    PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNT);

    //距离命中节的起始虚拟地址的偏移值。

    DWORD  dwDiffer = ;

    for (DWORD i = ; i < dwSectionCount; i++)

    {

        //模拟内存对齐机制

        DWORD dwBlockCount = pSection[i].SizeOfRawData / dwMemoruAil;

        dwBlockCount += pSection[i].SizeOfRawData%dwMemoruAil ?  : ;

        DWORD dwBeginVA = pSection[i].VirtualAddress;

        DWORD dwEndVA = pSection[i].VirtualAddress + dwBlockCount * dwMemoruAil;

        //如果stRVA在某个区段中

        if (stRVA >= dwBeginVA && stRVA < dwEndVA)

        {

            dwDiffer = stRVA - dwBeginVA;

            return pSection[i].PointerToRawData + dwDiffer;

        }

        else if (stRVA < dwBeginVA)//在文件头中直接返回

        {

            return stRVA;

        }

    }

    return ;

}
/************************************************************************/

/*

功能:文件偏移地址和虚拟地址的转换

参数:stOffset:文件偏移地址

lpFileBuf:虚拟内存起始地址

返回:转换后的虚拟地址

*/

/************************************************************************/

size_t Offset2VA(size_t stOffset, PVOID lpFileBuf)

{

    //获取DOS头

    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)lpFileBuf;

    //获取PE头

    //e_lfanew:PE头相对于文件的偏移地址

    size_t stPEHeadAddr = (size_t)lpFileBuf + pDos->e_lfanew;

    PIMAGE_NT_HEADERS32 pNT = (PIMAGE_NT_HEADERS32)stPEHeadAddr;

    //区段数

    DWORD dwSectionCount = pNT->FileHeader.NumberOfSections;

    //映像地址

    DWORD dwImageBase = pNT->OptionalHeader.ImageBase;

    //区段头

    PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNT);

    //相对大小

    DWORD  dwDiffer = ;

    for (DWORD i = ; i < dwSectionCount; i++)

    {

        //区段的起始地址和结束地址

        DWORD dwBeginVA = pSection[i].PointerToRawData;

        DWORD dwEndVA = pSection[i].PointerToRawData + pSection[i].SizeOfRawData;

        //如果文件偏移地址在dwBeginVA和dwEndVA之间

        if (stOffset >= dwBeginVA && stOffset < dwEndVA)

        {

            //相对大小

            dwDiffer = stOffset - dwBeginVA;

            //进程的起始地址 + 区段的相对地址 + 相对区段的大小

            return dwImageBase + pSection[i].VirtualAddress + dwDiffer;

        }

        else if (stOffset < dwBeginVA)    //如果文件偏移地址不在区段中

        {

            return dwImageBase + stOffset;

        }

    }

    return ;

}

PE文件RV转FOA及FOA转RVA的更多相关文章

  1. PE文件学习系列二 DOS头分析

    合肥程序员群:49313181.    合肥实名程序员群 :128131462 (不愿透露姓名和信息者勿加入)Q  Q:408365330     E-Mail:egojit@qq.com PE文件结 ...

  2. PE知识复习之PE文件空白区添加代码

    PE知识复习之PE文件空白区添加代码 一丶简介 根据上面所讲PE知识.我们已经可以实现我们的一点手段了.比如PE的入口点位置.改为我们的入口位置.并且填写我们的代码.这个就是空白区添加代码. 我们也可 ...

  3. PE文件常用结构体

    Dos头结构: typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_c ...

  4. PE文件解析 基础篇

    PE文件解析 基础篇 来源 https://bbs.pediy.com/thread-247114.htm 前言 之前学习了PE格式,为了更好的理解,决定写一个类似LoadPE的小工具. 编译器是VS ...

  5. C++PE文件格式解析类(轻松制作自己的PE文件解析器)

    PE是Portable Executable File Format(可移植的运行体)简写,它是眼下Windows平台上的主流可运行文件格式. PE文件里包括的内容非常多,详细我就不在这解释了,有兴趣 ...

  6. 获取pe文件的文件类型

    工程文件petype.cpp通过调用pefile类中的函数获取文件类型. 文件类型的判断通过5个监测点完成. 监测点1:dos头的e_magic 监测点2:nt头的Signature 监测点3:文件头 ...

  7. 浅析MSIL中间语言——PE文件结构篇

    一.开篇 开篇我想讲一下于本文无关的话题,其实我很想美化一下自己博客园一直没时间弄,无意间找了博客园李宝亨的博客园里面有一篇分享自己主题的文章,我就将这个模板暂时用作我的blog主题,我要讲述一个关于 ...

  8. PE文件学习系列笔记四-C++实现PE文件的分析

    合肥程序员群:49313181.    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入) Q  Q:408365330     E-Mail:egojit@qq.com 综述: 首 ...

  9. PE文件学习系列三-PE头详解

    合肥程序员群:49313181.    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入) Q  Q:408365330     E-Mail:egojit@qq.com 最近比较忙 ...

随机推荐

  1. java练习——接口与继承

    父类与子类的构造方法: 如果父类中有一个默认无参的构造方法,那么子类的构造方法中会自动进行调用.如果父类有自己的构造方法,且这时父类没有默认无参的构造方法,那么在子类的构造方法中,必须要调用父类的某个 ...

  2. Altium Designer多原理图、PCB更新处理

    问题扫述: 一般一个同程有多个原理图.PCB.但是AD默认从原理图更新到PCB会把全部原理图都更新过去.因此需要稍加设置. 一.

  3. 《Cracking the Coding Interview》——第18章:难题——题目3

    2014-04-29 01:02 题目:从m个整数里随机选出n个整数,要求等概率. 解法:和洗牌的算法类似,每次随机抽出一个数,抽n次即可.时间复杂度O(m * n),空间复杂度O(m). 代码: / ...

  4. 能加载文件或程序集 HRESULT:0x80070057 (E_INVALIDARG)的异常的解决方案

    今天下午由于机器蓝屏后,导致我的VS不能够调试我的网站了. 症状就是 : VS无法调试,但是可以编译和发布.而且只是 我在调试时蓝屏的那个项目 不能调试. 出现的错误就是: 能加载文件或程序集“Eny ...

  5. centos6安装openfire(mysql)

    一.安装JDK 我的系统是centos6.8x64,首先安装jdk1.7.0 二.安装openfire 我装的包是:openfire-3.9.3-1.i386.rpm,复制到/opt目录 #rpm - ...

  6. (转\整)UE4游戏优化 多人大地型游戏的优化(一)游戏线程的优化

    施主分享随缘,评论随心,@author:白袍小道 小道暗语: 1.因为小道这里博客目录没自己整,暂时就用随笔目录结构,所以二级目录那啥就忽略了.标题格式大致都是(原or转) 二级目录 (标题) 2.因 ...

  7. (原)UE4 制作执行队列(Action Queue)

    队列和树在游戏开发中是比较常见的数据结构,在一定范围能保证执行的顺序. 结合一些设计模式技巧,往往可以做一些神器.     如加载块chunk管理,任务系统(当然也可以使用行为树来做复杂的任务系统). ...

  8. 第一次玩博客 感觉自己特别low

    第一天来  来好激动第一天来  来好激动第一天来  来好激动第一天来  来好激动第一天来  来好激动第一天来  来好激动第一天来  来好激动第一天来  来好激动第一天来  来好激动第一天来  来好激动 ...

  9. Linux查看端口被占用情形

    查看某端口的占用情况: lsof -i:<端口号> 例如:lsof -i:8080 netstat -apn|grep <端口号> 例如: netstat -apn | gre ...

  10. 【转】mysql 计划事件

    转自:http://www.cnblogs.com/c840136/articles/2388512.html MySQL5.1.x版本中引入了一项新特性EVENT,顾名思义就是事件.定时任务机制,在 ...