公式

  1. RVA = 内存地址-ImageBase

  2. 判断RVA在哪一个节上:

    1. RVA>=节n.VirtualAddress
    2. RVA<=(节n.VirtualAddress+节.SizeofRawData)内存对齐

    偏移=RVA-节n.VirtualAddress

  3. FOA=节n.PointerToRawData+偏移

实验-对齐大小一样

#include <stdio.h>

char str[] = "ABC";

int main()

{

	printf("Address: %p\n", &str);

	printf("V: %s\n", str);

	return 0;

}
  • 执行后输出:
Address: 00424D8C

V: ABC

获取ImageBase

  • ImageBase在扩展PE头上的第十个属性,基于扩展PE头偏移地址28个字节,大小为DWORD。
  • 00004000,小端存储转十六进制为0x00400000,所以ImageBase的地址为0x00400000。

计算RVA

  • RVA=内存地址-ImageBase=0x00024D8C

获取内存对齐和文件对齐

  • SectionAlignment 内存对齐 在扩展PE头上的第十一个属性,大小为DWORD。
  • FileAlignment 文件对齐 在扩展PE头上的第十二个属性,大小为DWORD。
  • 发现内存对齐和文件对齐都是1000h,实验完再找一个对齐不一样的试试。

判断在哪一个节

  • VirtualAddress在每一个节表的第三个属性,偏移为12个字节,大小为DWORD,得到第一个节表的VirtualAddress为00100000,小端转十六进制得到0x00001000。第二个节表的VirtualAddress为00200200,小端存储转十六进制得到0x00022000。第三个节表的VirtualAddress为00400200,小端存储转十六进制为00024000,RVA大于第二个节的VirtualAddress小于第三个节的VirtualAddress。所以在第二个节表里。

计算偏移

  • RVA-第二个节的VirtualAddress=0x00024D8C-0x00022000=0x00002D8C

获取节表的PointerToRawData

  • PointerToRawData在节表的第五个属性,基于节表偏移20个字节,大小为DWORD。
  • 获取第二个节表的PointerToRawData得到00200200,小端存储转十六进制为0x00022000

计算FOA

  • FOA=第二个节.PointerToRawData+偏移=0x00022000+0x00002D8C=0x00024D8C
  • 发现和RVA是一样的,所以结论是:如果内存对齐和文件对齐是一样的,FOA=RVA。

验证

  • 将0x00024D8C后面对应三个字节的改为41 41 41再执行等到
Address: 00424D8C

V: AAA

实验-对齐大小不一样

  • 预编译修改内存对齐和文件对齐,记得文件对齐不能大于内存对齐。因为重新编译了,所以要重新算。
#pragma comment(linker, "/ALIGN:0x4000")

#pragma comment(linker, "/FILEALIGN:0x1000")

#include <stdio.h>

char str[] = "ABCD";

int main()

{

	printf("Address: %p\n", &str);

	printf("V: %s\n", str);

	return 0;

}
  • 执行后结果为:
Address: 0042CA30

V: ABCD

获取ImageBase

  • ImageBase在扩展PE头上的第十个属性,基于扩展PE头偏移地址28个字节,大小为DWORD。
  • 00004000,小端存储转十六进制为0x00400000,所以ImageBase的地址为0x00400000。

计算RVA

  • RVA=内存地址-ImageBase=0x0042CA30-0x00400000=0x0002CA30

获取内存对齐和文件对齐

  • SectionAlignment 内存对齐 在扩展PE头上的第十一个属性,基于扩展PE头偏移地址32个字节,大小为DWORD。
  • FileAlignment 文件对齐 在扩展PE头上的第十二个属性,基于扩展PE头偏移地址36个字节,大小为DWORD。
  • 发现内存对齐是4000h,文件对齐是1000h。

判断在哪一个节

  • VirtualAddress在每一个节表的第三个属性,偏移为12个字节,大小为DWORD,得到第一个节表的VirtualAddress为00400000,小端转十六进制得到0x00004000。第二个节表的VirtualAddress为00800200,小端存储转十六进制得到0x00020800。第三个节表的VirtualAddress为00C00200,小端存储转十六进制为0x0002C000,第四个节表的VirtualAddress为00400300,小端存储转十六进制为0x00034000,RVA大于第三个节的VirtualAddress小于第四个节的VirtualAddress。所以在第三个节表里。

计算偏移

  • RVA-第三个节的VirtualAddress=0x0002CA30-0x0002C000=0x00000A30

获取节表的PointerToRawData

  • PointerToRawData在节表的第五个属性,基于节表偏移20个字节,大小为DWORD。
  • 获取第三个节表的PointerToRawData得到00800200,小端存储转十六进制为0x00028000

计算FOA

  • FOA=第三个节.PointerToRawData+偏移=0x00024000+0x00000A30=0x00024A30

验证

  • 将0x00024A30后面对应三个字节的改为41 41 41 41再执行等到
Address: 0042CA30

V: AAAA

哔哩哔哩

PE之RVA转FOA的更多相关文章

  1. PE知识复习之PE的RVA与FOA的转换

    PE知识复习之PE的RVA与FOA的转换 一丶简介PE的两种状态 首先我们知道PE有两种状态.一种是内存展开.一种是在文件中的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎 ...

  2. RVA到FOA的转换

    地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空间,之所以不是物理空间是因为数据在内存中的位置经常在变,这样既可以节约内存开支又可以避开错误的内存位置.这个地址空间的大小为4 ...

  3. PE文件RV转FOA及FOA转RVA

    /************************************************************************/ /* 功能:虚拟内存相对地址和文件偏移的转换 参数 ...

  4. Windows代码,添加一个节,以及RVA跟FOA互相转化,以及内存文件对齐代码.

    / 1.修改文件头节个数 +1 2.修改ImageBase 3.遍历节表,拷贝最后一个节表到下面 4.修改节的虚拟大小(节表.virtualSize) 5.修改节的虚拟地址(RVA 节表.virtua ...

  5. RVA与FOA的转换

    主要取决于文件对齐与内存对齐的值

  6. 【PE结构】由浅入深PE基础学习-菜鸟手动查询导出表、相对虚拟地址(RVA)与文件偏移地址转换(FOA)

    0 前言 此篇文章想写如何通过工具手查导出表.PE文件代码编程过程中的原理.文笔不是很好,内容也是查阅了很多的资料后整合出来的.希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献.因为了解 ...

  7. PE 学习之路 —— 区块表

    1. 前述 在 NT 头结束后,紧接着就是区块表,区块表包含每个块在映象中的信息,分别指向不同的区块实体. 2. 区块表 区块表是一个 IMAGE_SECTION_HEADER 结构数组,这个结构包含 ...

  8. C++PE文件格式解析类(轻松制作自己的PE文件解析器)

    PE是Portable Executable File Format(可移植的运行体)简写,它是眼下Windows平台上的主流可运行文件格式. PE文件里包括的内容非常多,详细我就不在这解释了,有兴趣 ...

  9. PE基础1

    PE文件概述 文件格式 .png ..mp4..gif..dll等等,这些文件都具有不同格式 不能随意修改这些文件,否则将无法打开 PE文件(可执行文件) 学习PE文件目标 掌握PE文件就掌握wino ...

随机推荐

  1. js遍历传参到html

    <p id="subp" hidden><button id= "upsub"shiro:hasPermission="sys:me ...

  2. 拥抱高通的联想,真的能靠5G突围?

    编辑 | 于斌 出品 | 于见(mpyujian) 2016年,对于常年自我标榜为"民族企业"的联想来说是品牌口碑的"转折之年".它在这一年的5G信道编码标准方 ...

  3. 【笔记6-支付及订单模块】从0开始 独立完成企业级Java电商网站开发(服务端)

    支付模块 实际开发工作中经常会遇见如下场景,一个支付模块,一个订单模块,有一定依赖,一个同事负责支付模块,另一个同事负责订单模块,但是开发支付模块的时候要依赖订单模块的相关类 ,方法,或者工具类,这些 ...

  4. [BUUCTF 2018]Online Tool

    进入页面 贴出源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER ...

  5. Xcode创建子工程以及工程依赖

    https://www.jianshu.com/p/f2bc7d155a86 阅读 7858 视频地址 如果文章不详细,点击看操作视频 项目需求:代码抽层,业务逻辑和数据处理要高度抽离,模块化,需要将 ...

  6. python opencv:色彩空间

    RGB色彩空间 常见的色彩空间 色彩空间的转换 cv2.cvtColor(image, 转换选项) 常见的两个颜色转换 HSV与RGB YUV与RGB inRange方法 函数参数: 第一个参数:是原 ...

  7. Hibernate学习(五)

    自关联测试案例 1.创建表 drop table if exists t_category ; create table t_category ( id ) primary key , name ) ...

  8. WLAN配置SKC

    1.关于SKC WLC支持粘滞密钥缓存(Sticky Key Caching,SKC). 通过SKC,客户端为其关联的每个AP接收并存储不同的PMKID. AP还维护发布给客户端的PMKID数据库. ...

  9. 取消Oracle数据库密码期限 取消用户锁定

    1.首先查用户被锁时间:sql>select username,account_status,lock_date from dba_users where username='SA'; 2.解锁 ...

  10. 到底是哪个“O”管理内部人员风险?

    导读 俗话说,家和万事兴.与之相对的,家不睦则必自败.同理,如果缺乏明确的领导,内部人员风险管理项目或内部人威胁项目 (ITP) 也将走向失败. 俗话说,家和万事兴.与之相对的,家不睦则必自败.同理, ...