公式

  1. RVA = 内存地址-ImageBase

  2. 判断RVA在哪一个节上:

    1. RVA>=节n.VirtualAddress
    2. RVA<=(节n.VirtualAddress+节.SizeofRawData)内存对齐

    偏移=RVA-节n.VirtualAddress

  3. FOA=节n.PointerToRawData+偏移

实验-对齐大小一样

#include <stdio.h>

char str[] = "ABC";

int main()

{

	printf("Address: %p\n", &str);

	printf("V: %s\n", str);

	return 0;

}
  • 执行后输出:
Address: 00424D8C

V: ABC

获取ImageBase

  • ImageBase在扩展PE头上的第十个属性,基于扩展PE头偏移地址28个字节,大小为DWORD。
  • 00004000,小端存储转十六进制为0x00400000,所以ImageBase的地址为0x00400000。

计算RVA

  • RVA=内存地址-ImageBase=0x00024D8C

获取内存对齐和文件对齐

  • SectionAlignment 内存对齐 在扩展PE头上的第十一个属性,大小为DWORD。
  • FileAlignment 文件对齐 在扩展PE头上的第十二个属性,大小为DWORD。
  • 发现内存对齐和文件对齐都是1000h,实验完再找一个对齐不一样的试试。

判断在哪一个节

  • VirtualAddress在每一个节表的第三个属性,偏移为12个字节,大小为DWORD,得到第一个节表的VirtualAddress为00100000,小端转十六进制得到0x00001000。第二个节表的VirtualAddress为00200200,小端存储转十六进制得到0x00022000。第三个节表的VirtualAddress为00400200,小端存储转十六进制为00024000,RVA大于第二个节的VirtualAddress小于第三个节的VirtualAddress。所以在第二个节表里。

计算偏移

  • RVA-第二个节的VirtualAddress=0x00024D8C-0x00022000=0x00002D8C

获取节表的PointerToRawData

  • PointerToRawData在节表的第五个属性,基于节表偏移20个字节,大小为DWORD。
  • 获取第二个节表的PointerToRawData得到00200200,小端存储转十六进制为0x00022000

计算FOA

  • FOA=第二个节.PointerToRawData+偏移=0x00022000+0x00002D8C=0x00024D8C
  • 发现和RVA是一样的,所以结论是:如果内存对齐和文件对齐是一样的,FOA=RVA。

验证

  • 将0x00024D8C后面对应三个字节的改为41 41 41再执行等到
Address: 00424D8C

V: AAA

实验-对齐大小不一样

  • 预编译修改内存对齐和文件对齐,记得文件对齐不能大于内存对齐。因为重新编译了,所以要重新算。
#pragma comment(linker, "/ALIGN:0x4000")

#pragma comment(linker, "/FILEALIGN:0x1000")

#include <stdio.h>

char str[] = "ABCD";

int main()

{

	printf("Address: %p\n", &str);

	printf("V: %s\n", str);

	return 0;

}
  • 执行后结果为:
Address: 0042CA30

V: ABCD

获取ImageBase

  • ImageBase在扩展PE头上的第十个属性,基于扩展PE头偏移地址28个字节,大小为DWORD。
  • 00004000,小端存储转十六进制为0x00400000,所以ImageBase的地址为0x00400000。

计算RVA

  • RVA=内存地址-ImageBase=0x0042CA30-0x00400000=0x0002CA30

获取内存对齐和文件对齐

  • SectionAlignment 内存对齐 在扩展PE头上的第十一个属性,基于扩展PE头偏移地址32个字节,大小为DWORD。
  • FileAlignment 文件对齐 在扩展PE头上的第十二个属性,基于扩展PE头偏移地址36个字节,大小为DWORD。
  • 发现内存对齐是4000h,文件对齐是1000h。

判断在哪一个节

  • VirtualAddress在每一个节表的第三个属性,偏移为12个字节,大小为DWORD,得到第一个节表的VirtualAddress为00400000,小端转十六进制得到0x00004000。第二个节表的VirtualAddress为00800200,小端存储转十六进制得到0x00020800。第三个节表的VirtualAddress为00C00200,小端存储转十六进制为0x0002C000,第四个节表的VirtualAddress为00400300,小端存储转十六进制为0x00034000,RVA大于第三个节的VirtualAddress小于第四个节的VirtualAddress。所以在第三个节表里。

计算偏移

  • RVA-第三个节的VirtualAddress=0x0002CA30-0x0002C000=0x00000A30

获取节表的PointerToRawData

  • PointerToRawData在节表的第五个属性,基于节表偏移20个字节,大小为DWORD。
  • 获取第三个节表的PointerToRawData得到00800200,小端存储转十六进制为0x00028000

计算FOA

  • FOA=第三个节.PointerToRawData+偏移=0x00024000+0x00000A30=0x00024A30

验证

  • 将0x00024A30后面对应三个字节的改为41 41 41 41再执行等到
Address: 0042CA30

V: AAAA

哔哩哔哩

PE之RVA转FOA的更多相关文章

  1. PE知识复习之PE的RVA与FOA的转换

    PE知识复习之PE的RVA与FOA的转换 一丶简介PE的两种状态 首先我们知道PE有两种状态.一种是内存展开.一种是在文件中的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎 ...

  2. RVA到FOA的转换

    地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空间,之所以不是物理空间是因为数据在内存中的位置经常在变,这样既可以节约内存开支又可以避开错误的内存位置.这个地址空间的大小为4 ...

  3. PE文件RV转FOA及FOA转RVA

    /************************************************************************/ /* 功能:虚拟内存相对地址和文件偏移的转换 参数 ...

  4. Windows代码,添加一个节,以及RVA跟FOA互相转化,以及内存文件对齐代码.

    / 1.修改文件头节个数 +1 2.修改ImageBase 3.遍历节表,拷贝最后一个节表到下面 4.修改节的虚拟大小(节表.virtualSize) 5.修改节的虚拟地址(RVA 节表.virtua ...

  5. RVA与FOA的转换

    主要取决于文件对齐与内存对齐的值

  6. 【PE结构】由浅入深PE基础学习-菜鸟手动查询导出表、相对虚拟地址(RVA)与文件偏移地址转换(FOA)

    0 前言 此篇文章想写如何通过工具手查导出表.PE文件代码编程过程中的原理.文笔不是很好,内容也是查阅了很多的资料后整合出来的.希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献.因为了解 ...

  7. PE 学习之路 —— 区块表

    1. 前述 在 NT 头结束后,紧接着就是区块表,区块表包含每个块在映象中的信息,分别指向不同的区块实体. 2. 区块表 区块表是一个 IMAGE_SECTION_HEADER 结构数组,这个结构包含 ...

  8. C++PE文件格式解析类(轻松制作自己的PE文件解析器)

    PE是Portable Executable File Format(可移植的运行体)简写,它是眼下Windows平台上的主流可运行文件格式. PE文件里包括的内容非常多,详细我就不在这解释了,有兴趣 ...

  9. PE基础1

    PE文件概述 文件格式 .png ..mp4..gif..dll等等,这些文件都具有不同格式 不能随意修改这些文件,否则将无法打开 PE文件(可执行文件) 学习PE文件目标 掌握PE文件就掌握wino ...

随机推荐

  1. notepad++,vim驼峰命名与下划线的互相转换

    notepad++,vim驼峰命名与下划线的互相转换   IDDAY_TIMEDAY_FULL_NAMEDAY_OF_WEEKYEAR_MONTHYREA_NAME 下滑线转驼峰 大写转小写 有这么些 ...

  2. Vue如何用虚拟dom进行渲染view的

    前提 vue版本:v2.5.17-beta.0 触发render vue在数据更新后会自动触发view的render工作,其依赖于数据驱动:在数据驱动的工作下,每一个vue的data属性都被监听,并且 ...

  3. javascript的阻止默认事件和阻止冒泡事件

    这两个方面的知识,在妙味课堂中有听过,再次复习一下: 原文来自:[http://www.cnblogs.com/Essence/p/4266618.html] 事件冒泡与默认行为   在说事件冒泡之前 ...

  4. 「题解」「POJ1322」Chocolate

    目录 题目 原题目 简易题意 思路分析 代码 练习题 题目 原题目 点这里 简易题意 包裹里有无限个分布均匀且刚好 \(c\) 种颜色的巧克力,现在要依次拿 \(n\) 个出来放到桌子上.每次如果桌子 ...

  5. Jmeter在linux下的安装

    Apache Jmeter简介   Apache JMeter 是Apache组织的开放源代码项目,是一个100%纯Java桌面应用,用于压力测试和性能测量.它最初被设计用于Web应用测试但后来扩展到 ...

  6. Qt连接mysql数据库遇到QMYSQL driver not loaded

    本文件向各位博友分享一下我在Qt开发过程中,连接mysql数据库时遇到的问题,以及解决的方法,希望对遇到同样问题的博友有所帮助. 工程运行环境:vs2015+Qt5.8 在开发过程中,编写数据库连接函 ...

  7. Cisco AP-AP重置操作

    Resetting to Default Settings Using the MODE Button/spanFollow these steps to reset the access point ...

  8. 在Eclipse或Myeclipse安装Maven插件的几种方法

    http://blog.csdn.net/lfsfxy9/article/details/9397937

  9. 再次立个flag

    今天2019.9.18 从上次迷茫到现在,差不多过去快一年了.   准确点是 442 天 我顺便大概看了一下上次迷茫时期的日志,总觉的不可思议.上次是毕业大概几个月,到目前其实也没多久,但是我变了.. ...

  10. 【原】tcp三次握手和四次挥手