公式

  1. RVA = 内存地址-ImageBase

  2. 判断RVA在哪一个节上:

    1. RVA>=节n.VirtualAddress
    2. RVA<=(节n.VirtualAddress+节.SizeofRawData)内存对齐

    偏移=RVA-节n.VirtualAddress

  3. FOA=节n.PointerToRawData+偏移

实验-对齐大小一样

#include <stdio.h>

char str[] = "ABC";

int main()

{

	printf("Address: %p\n", &str);

	printf("V: %s\n", str);

	return 0;

}
  • 执行后输出:
Address: 00424D8C

V: ABC

获取ImageBase

  • ImageBase在扩展PE头上的第十个属性,基于扩展PE头偏移地址28个字节,大小为DWORD。
  • 00004000,小端存储转十六进制为0x00400000,所以ImageBase的地址为0x00400000。

计算RVA

  • RVA=内存地址-ImageBase=0x00024D8C

获取内存对齐和文件对齐

  • SectionAlignment 内存对齐 在扩展PE头上的第十一个属性,大小为DWORD。
  • FileAlignment 文件对齐 在扩展PE头上的第十二个属性,大小为DWORD。
  • 发现内存对齐和文件对齐都是1000h,实验完再找一个对齐不一样的试试。

判断在哪一个节

  • VirtualAddress在每一个节表的第三个属性,偏移为12个字节,大小为DWORD,得到第一个节表的VirtualAddress为00100000,小端转十六进制得到0x00001000。第二个节表的VirtualAddress为00200200,小端存储转十六进制得到0x00022000。第三个节表的VirtualAddress为00400200,小端存储转十六进制为00024000,RVA大于第二个节的VirtualAddress小于第三个节的VirtualAddress。所以在第二个节表里。

计算偏移

  • RVA-第二个节的VirtualAddress=0x00024D8C-0x00022000=0x00002D8C

获取节表的PointerToRawData

  • PointerToRawData在节表的第五个属性,基于节表偏移20个字节,大小为DWORD。
  • 获取第二个节表的PointerToRawData得到00200200,小端存储转十六进制为0x00022000

计算FOA

  • FOA=第二个节.PointerToRawData+偏移=0x00022000+0x00002D8C=0x00024D8C
  • 发现和RVA是一样的,所以结论是:如果内存对齐和文件对齐是一样的,FOA=RVA。

验证

  • 将0x00024D8C后面对应三个字节的改为41 41 41再执行等到
Address: 00424D8C

V: AAA

实验-对齐大小不一样

  • 预编译修改内存对齐和文件对齐,记得文件对齐不能大于内存对齐。因为重新编译了,所以要重新算。
#pragma comment(linker, "/ALIGN:0x4000")

#pragma comment(linker, "/FILEALIGN:0x1000")

#include <stdio.h>

char str[] = "ABCD";

int main()

{

	printf("Address: %p\n", &str);

	printf("V: %s\n", str);

	return 0;

}
  • 执行后结果为:
Address: 0042CA30

V: ABCD

获取ImageBase

  • ImageBase在扩展PE头上的第十个属性,基于扩展PE头偏移地址28个字节,大小为DWORD。
  • 00004000,小端存储转十六进制为0x00400000,所以ImageBase的地址为0x00400000。

计算RVA

  • RVA=内存地址-ImageBase=0x0042CA30-0x00400000=0x0002CA30

获取内存对齐和文件对齐

  • SectionAlignment 内存对齐 在扩展PE头上的第十一个属性,基于扩展PE头偏移地址32个字节,大小为DWORD。
  • FileAlignment 文件对齐 在扩展PE头上的第十二个属性,基于扩展PE头偏移地址36个字节,大小为DWORD。
  • 发现内存对齐是4000h,文件对齐是1000h。

判断在哪一个节

  • VirtualAddress在每一个节表的第三个属性,偏移为12个字节,大小为DWORD,得到第一个节表的VirtualAddress为00400000,小端转十六进制得到0x00004000。第二个节表的VirtualAddress为00800200,小端存储转十六进制得到0x00020800。第三个节表的VirtualAddress为00C00200,小端存储转十六进制为0x0002C000,第四个节表的VirtualAddress为00400300,小端存储转十六进制为0x00034000,RVA大于第三个节的VirtualAddress小于第四个节的VirtualAddress。所以在第三个节表里。

计算偏移

  • RVA-第三个节的VirtualAddress=0x0002CA30-0x0002C000=0x00000A30

获取节表的PointerToRawData

  • PointerToRawData在节表的第五个属性,基于节表偏移20个字节,大小为DWORD。
  • 获取第三个节表的PointerToRawData得到00800200,小端存储转十六进制为0x00028000

计算FOA

  • FOA=第三个节.PointerToRawData+偏移=0x00024000+0x00000A30=0x00024A30

验证

  • 将0x00024A30后面对应三个字节的改为41 41 41 41再执行等到
Address: 0042CA30

V: AAAA

哔哩哔哩

PE之RVA转FOA的更多相关文章

  1. PE知识复习之PE的RVA与FOA的转换

    PE知识复习之PE的RVA与FOA的转换 一丶简介PE的两种状态 首先我们知道PE有两种状态.一种是内存展开.一种是在文件中的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎 ...

  2. RVA到FOA的转换

    地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空间,之所以不是物理空间是因为数据在内存中的位置经常在变,这样既可以节约内存开支又可以避开错误的内存位置.这个地址空间的大小为4 ...

  3. PE文件RV转FOA及FOA转RVA

    /************************************************************************/ /* 功能:虚拟内存相对地址和文件偏移的转换 参数 ...

  4. Windows代码,添加一个节,以及RVA跟FOA互相转化,以及内存文件对齐代码.

    / 1.修改文件头节个数 +1 2.修改ImageBase 3.遍历节表,拷贝最后一个节表到下面 4.修改节的虚拟大小(节表.virtualSize) 5.修改节的虚拟地址(RVA 节表.virtua ...

  5. RVA与FOA的转换

    主要取决于文件对齐与内存对齐的值

  6. 【PE结构】由浅入深PE基础学习-菜鸟手动查询导出表、相对虚拟地址(RVA)与文件偏移地址转换(FOA)

    0 前言 此篇文章想写如何通过工具手查导出表.PE文件代码编程过程中的原理.文笔不是很好,内容也是查阅了很多的资料后整合出来的.希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献.因为了解 ...

  7. PE 学习之路 —— 区块表

    1. 前述 在 NT 头结束后,紧接着就是区块表,区块表包含每个块在映象中的信息,分别指向不同的区块实体. 2. 区块表 区块表是一个 IMAGE_SECTION_HEADER 结构数组,这个结构包含 ...

  8. C++PE文件格式解析类(轻松制作自己的PE文件解析器)

    PE是Portable Executable File Format(可移植的运行体)简写,它是眼下Windows平台上的主流可运行文件格式. PE文件里包括的内容非常多,详细我就不在这解释了,有兴趣 ...

  9. PE基础1

    PE文件概述 文件格式 .png ..mp4..gif..dll等等,这些文件都具有不同格式 不能随意修改这些文件,否则将无法打开 PE文件(可执行文件) 学习PE文件目标 掌握PE文件就掌握wino ...

随机推荐

  1. STM32F030 启用内部晶振并配置系统时钟为48M

    在文件 system_stm32f0xx.c 里的函数 static void SetSysClock(void) { if (HSEStatus == (uint32_t)0x01) // 存在外部 ...

  2. rapidxml读xml文件

    student.xml文件内容: int readXML(void) { rapidxml::file<> file("student.xml"); rapidxml: ...

  3. 获取天气预报java代码

    import java.io.BufferedReader; import java.io.FileNotFoundException; import java.io.IOException; imp ...

  4. 【Fine学习笔记】Jmeter笔记

    熟悉几个专有名词: 1.测试计划是顺序执行的,一个性能测试必须有的三部分:测试计划.线程组.sampler(采样器)--核心 2.控制器(用来定义请求执行的):loop if else 3.timer ...

  5. 树莓派4B踩坑指南 - (6)安装常用软件及相关设置

    安装软件 安装LibreOffice中文包 sudo apt-get install libreoffice-l10n-zh-cn sudo reboot 安装codeblocks并汉化: sudo ...

  6. web优化(一 前端)

    当我们在浏览器地址栏中输入一个URL的时候,网页开始请求,我们在页面上看到的内容就是许多个HTTP请求从服务器返回的数据展示,这些展示的快慢很大程度依赖前端的优化,怎样做好前端的优化,我这里总结了几点 ...

  7. 解决CentOS下boost安装后不能使用的问题

    先说一说整个经历. 因为之前没有注意到gcc4.8.5比较旧,就已经安装好boost了,当时已经可以使用了,后来发现gcc太老了,一些软件安装需要比较新的gcc支持,所以决定升级gcc,结果boost ...

  8. ajax的XmlHttpRequest对象常用方法

    onreadystatechange用于检测readyState状态的改变,当readyState的状态发生改变的时候调用回调

  9. preg_replace相关问题

    preg_replace preg_replace 函数执行一个正则表达式的搜索和替换. 语法: preg_replace ( mixed $pattern , mixed $replacement ...

  10. Matlab利用subplot绘制多个图像

    利用subplot绘制多个图像 subplot(m,n,p) subplot是将多个图画到一个平面上的函数,m是行,n是列,p是所要绘制图所在的位置 x = 0:0.1:100; sinY = sin ...