公式

  1. RVA = 内存地址-ImageBase

  2. 判断RVA在哪一个节上:

    1. RVA>=节n.VirtualAddress
    2. RVA<=(节n.VirtualAddress+节.SizeofRawData)内存对齐

    偏移=RVA-节n.VirtualAddress

  3. FOA=节n.PointerToRawData+偏移

实验-对齐大小一样

#include <stdio.h>

char str[] = "ABC";

int main()

{

	printf("Address: %p\n", &str);

	printf("V: %s\n", str);

	return 0;

}
  • 执行后输出:
Address: 00424D8C

V: ABC

获取ImageBase

  • ImageBase在扩展PE头上的第十个属性,基于扩展PE头偏移地址28个字节,大小为DWORD。
  • 00004000,小端存储转十六进制为0x00400000,所以ImageBase的地址为0x00400000。

计算RVA

  • RVA=内存地址-ImageBase=0x00024D8C

获取内存对齐和文件对齐

  • SectionAlignment 内存对齐 在扩展PE头上的第十一个属性,大小为DWORD。
  • FileAlignment 文件对齐 在扩展PE头上的第十二个属性,大小为DWORD。
  • 发现内存对齐和文件对齐都是1000h,实验完再找一个对齐不一样的试试。

判断在哪一个节

  • VirtualAddress在每一个节表的第三个属性,偏移为12个字节,大小为DWORD,得到第一个节表的VirtualAddress为00100000,小端转十六进制得到0x00001000。第二个节表的VirtualAddress为00200200,小端存储转十六进制得到0x00022000。第三个节表的VirtualAddress为00400200,小端存储转十六进制为00024000,RVA大于第二个节的VirtualAddress小于第三个节的VirtualAddress。所以在第二个节表里。

计算偏移

  • RVA-第二个节的VirtualAddress=0x00024D8C-0x00022000=0x00002D8C

获取节表的PointerToRawData

  • PointerToRawData在节表的第五个属性,基于节表偏移20个字节,大小为DWORD。
  • 获取第二个节表的PointerToRawData得到00200200,小端存储转十六进制为0x00022000

计算FOA

  • FOA=第二个节.PointerToRawData+偏移=0x00022000+0x00002D8C=0x00024D8C
  • 发现和RVA是一样的,所以结论是:如果内存对齐和文件对齐是一样的,FOA=RVA。

验证

  • 将0x00024D8C后面对应三个字节的改为41 41 41再执行等到
Address: 00424D8C

V: AAA

实验-对齐大小不一样

  • 预编译修改内存对齐和文件对齐,记得文件对齐不能大于内存对齐。因为重新编译了,所以要重新算。
#pragma comment(linker, "/ALIGN:0x4000")

#pragma comment(linker, "/FILEALIGN:0x1000")

#include <stdio.h>

char str[] = "ABCD";

int main()

{

	printf("Address: %p\n", &str);

	printf("V: %s\n", str);

	return 0;

}
  • 执行后结果为:
Address: 0042CA30

V: ABCD

获取ImageBase

  • ImageBase在扩展PE头上的第十个属性,基于扩展PE头偏移地址28个字节,大小为DWORD。
  • 00004000,小端存储转十六进制为0x00400000,所以ImageBase的地址为0x00400000。

计算RVA

  • RVA=内存地址-ImageBase=0x0042CA30-0x00400000=0x0002CA30

获取内存对齐和文件对齐

  • SectionAlignment 内存对齐 在扩展PE头上的第十一个属性,基于扩展PE头偏移地址32个字节,大小为DWORD。
  • FileAlignment 文件对齐 在扩展PE头上的第十二个属性,基于扩展PE头偏移地址36个字节,大小为DWORD。
  • 发现内存对齐是4000h,文件对齐是1000h。

判断在哪一个节

  • VirtualAddress在每一个节表的第三个属性,偏移为12个字节,大小为DWORD,得到第一个节表的VirtualAddress为00400000,小端转十六进制得到0x00004000。第二个节表的VirtualAddress为00800200,小端存储转十六进制得到0x00020800。第三个节表的VirtualAddress为00C00200,小端存储转十六进制为0x0002C000,第四个节表的VirtualAddress为00400300,小端存储转十六进制为0x00034000,RVA大于第三个节的VirtualAddress小于第四个节的VirtualAddress。所以在第三个节表里。

计算偏移

  • RVA-第三个节的VirtualAddress=0x0002CA30-0x0002C000=0x00000A30

获取节表的PointerToRawData

  • PointerToRawData在节表的第五个属性,基于节表偏移20个字节,大小为DWORD。
  • 获取第三个节表的PointerToRawData得到00800200,小端存储转十六进制为0x00028000

计算FOA

  • FOA=第三个节.PointerToRawData+偏移=0x00024000+0x00000A30=0x00024A30

验证

  • 将0x00024A30后面对应三个字节的改为41 41 41 41再执行等到
Address: 0042CA30

V: AAAA

哔哩哔哩

PE之RVA转FOA的更多相关文章

  1. PE知识复习之PE的RVA与FOA的转换

    PE知识复习之PE的RVA与FOA的转换 一丶简介PE的两种状态 首先我们知道PE有两种状态.一种是内存展开.一种是在文件中的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎 ...

  2. RVA到FOA的转换

    地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空间,之所以不是物理空间是因为数据在内存中的位置经常在变,这样既可以节约内存开支又可以避开错误的内存位置.这个地址空间的大小为4 ...

  3. PE文件RV转FOA及FOA转RVA

    /************************************************************************/ /* 功能:虚拟内存相对地址和文件偏移的转换 参数 ...

  4. Windows代码,添加一个节,以及RVA跟FOA互相转化,以及内存文件对齐代码.

    / 1.修改文件头节个数 +1 2.修改ImageBase 3.遍历节表,拷贝最后一个节表到下面 4.修改节的虚拟大小(节表.virtualSize) 5.修改节的虚拟地址(RVA 节表.virtua ...

  5. RVA与FOA的转换

    主要取决于文件对齐与内存对齐的值

  6. 【PE结构】由浅入深PE基础学习-菜鸟手动查询导出表、相对虚拟地址(RVA)与文件偏移地址转换(FOA)

    0 前言 此篇文章想写如何通过工具手查导出表.PE文件代码编程过程中的原理.文笔不是很好,内容也是查阅了很多的资料后整合出来的.希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献.因为了解 ...

  7. PE 学习之路 —— 区块表

    1. 前述 在 NT 头结束后,紧接着就是区块表,区块表包含每个块在映象中的信息,分别指向不同的区块实体. 2. 区块表 区块表是一个 IMAGE_SECTION_HEADER 结构数组,这个结构包含 ...

  8. C++PE文件格式解析类(轻松制作自己的PE文件解析器)

    PE是Portable Executable File Format(可移植的运行体)简写,它是眼下Windows平台上的主流可运行文件格式. PE文件里包括的内容非常多,详细我就不在这解释了,有兴趣 ...

  9. PE基础1

    PE文件概述 文件格式 .png ..mp4..gif..dll等等,这些文件都具有不同格式 不能随意修改这些文件,否则将无法打开 PE文件(可执行文件) 学习PE文件目标 掌握PE文件就掌握wino ...

随机推荐

  1. ExecutorService 的Future类

    1.概述 在本文中,我们将了解Future.自Java 1.5以来一直存在的接口,在处理异步调用和并发处理时非常有用. 2.创建Future 简单地说,Future类表示异步计算的未来结果 - 这个结 ...

  2. dfs关于按钮问题(flip游戏POJ1753)以及和bfs的区别+板子

    DFS深度搜索:之前一直和bfs的用法搞不太清楚:写了题才能慢慢参透吧,看了别的博客的代码,感觉能更好理解dfs在图中的应用: 这个题目的意思是一个人去救另一个人,找出最短的寻找路径: #includ ...

  3. 五、request模块

    描述:requests是python的一个第三方HTTP(Hypertext Transfer Protocol,超文本传输协议)库,它比python自带的网络库urllib更加简单.方便和人性化:使 ...

  4. ThreadLocal是什么?

    早在JDK 1.2的版本中就提供Java.lang.ThreadLocal,ThreadLocal为解决多线程程序的并发问题提供了一种新的思路.使用这个工具类可以很简洁地编写出优美的多线程程序. 当使 ...

  5. linux查看公网ip的方法

    curl ifconfig.me 或者 curl cip.cc

  6. IDEA启动报错-java.net.BindException: Address already in use: bind

    启动IDEA报错日志如下: Internal error. Please refer to http://jb.gg/ide/critical-startup-errors java.net.Bind ...

  7. 使用MQTT.fx客户端接入阿里云

    一.前期准备. 1.关于MQTT连接的属性:https://www.cnblogs.com/mhtc/p/11112153.html 2.关于阿里云配置工具的使用:https://www.cnblog ...

  8. 大数据计算引擎之Flink Flink CEP复杂事件编程

    原文地址: 大数据计算引擎之Flink Flink CEP复杂事件编程 复杂事件编程(CEP)是一种基于流处理的技术,将系统数据看作不同类型的事件,通过分析事件之间的关系,建立不同的时事件系序列库,并 ...

  9. JavaSE复习~运算符与表达式

    运算符 运算符:进行特定操作的符号 表达式:用运算符进行操作的式子 算术运算符 首先是加减乘除:+.-.*./还有取余:% 整数进行算术操作得到的还是整数,例如整数使用 / 得到的是整数(商的整数部分 ...

  10. DVWA的文件上传漏洞(high)

    1.使用文件包含漏洞和文件上传漏洞,来连接shell 文件包含漏洞详细的漏洞介绍:https://blog.csdn.net/Vansnc/article/details/82528395 文件包含函 ...