本文主要是介绍PE之FOA与RVA互相转换过程与C语言实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
文章目录
- 说明
- 一、FOA和RVA
- 二、RVA转为FOA
- 1.大致步骤
- 2.特殊情况
- 3.C语言实现函数功能
- 三、FOA转为RVA
- 1.大致步骤
- 2.特殊情况
- 3.C语言实现函数功能
说明
看滴水的视频写学习笔记总结
语言:c/c++
编译环境:vc++6.0
C语言函数中定义的结构类型来自于头文件windows.h
准确的说,定义的PE的结构体类型的所有数据都来自与头文件winnt.h,只不过windows.h内部声明了winnt.h
一、FOA和RVA
| 缩写 | 英文全称 | 含义 |
|---|---|---|
| FOA | File Offset Address | 文件偏移地址 |
| RVA | Relative Virtual Addresses | 相对虚拟地址 |
| VA | Virtual Address | 虚拟地址 |
RVA
VA = RVA + ImageBase
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d6wchHYO-1590056089133)(E:\Typora\image\image-20200521172839449.png)]](https://img-blog.csdnimg.cn/20200521181502566.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM1Mjg5NjYw,size_16,color_FFFFFF,t_70)
二、RVA转为FOA
1.大致步骤
第一步:判断RVA是否在PE头区。在PE头区RVA与FOA相等,直接返回RVA。
对比第一个节表头VirtualAddress.
若RVA < VirtualAddress则说明RVA在PE头区
第二步:若RVA没有在头区,就遍历节表头,寻找这个RVA位于哪个节表区。
循环遍历节表头,在该 节表头内 满足下列条件
VirtualAddress <= RVA <= VirtualAddress + SizeOfRawData
即可确定RVA位于哪个节表头
第三步:找到RVA对应的节表区头后,计算并返回FOA的值
在对应的节表头区内,
FOA = (RVA - VirtualAddress) + PointerToRawData;
2.特殊情况
两种情况的RVA没有对应的FOA
-
RVA为内存拉伸后系统填充的地址
-
RVA超出内存范围
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-skJxECmP-1590056089136)(E:\Typora\image\image-20200521174958298.png)]](https://img-blog.csdnimg.cn/20200521181514647.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM1Mjg5NjYw,size_16,color_FFFFFF,t_70)
3.C语言实现函数功能
| 说明 | 意义 |
|---|---|
| 函数名称 | size_t ConvertRvaToFoa( size_t RVA , LPVOID pFileBuffer ) |
| 功能 | 将RVA转化为FOA |
| 参数 | 参数1:要转换的RVA的值(size_t);参数2:指向文件缓冲区的指针(LPVOID) |
| 返回值 | 成功则返回对应的FOA,失败则返回0(这个RVA是没有对应的FOA,为内存拉伸后系统填充的地址,或者RVA超出内存范围) |
| 调用头文件 | stdio.h window.h |
//功能:将RVA转化为FOA
//参数:参数1:要转换的RVA的值(size_t);参数2:指向文件缓冲区的指针(LPVOID)
//返回值:成功则返回对应的FOA,失败则返回0(这个RVA是没有对应的FOA,为内存拉伸后系统填充的地址,或者RVA超出内存范围)。
size_t ConvertRvaToFoa( size_t RVA , LPVOID pFileBuffer )
{int i ;//用于遍历节表
// size_t FOA = 0;//定义表头指针PIMAGE_DOS_HEADER pDosHeader = NULL;PIMAGE_NT_HEADERS32 pNtHeader = NULL;PIMAGE_FILE_HEADER pFileHeader = NULL;PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;PIMAGE_SECTION_HEADER pSectionHeader = NULL; //给表头赋初值pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);pFileHeader = (PIMAGE_FILE_HEADER)( (DWORD)pNtHeader+4 );pOptionHeader = (PIMAGE_OPTIONAL_HEADER)( (DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER); //第一个节表头pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pOptionHeader + pFileHeader->SizeOfOptionalHeader);if(RVA < pSectionHeader->VirtualAddress)//判断RVA是否在PE头区{if(RVA < pSectionHeader->PointerToRawData)return RVA;//此时FOA == RVAelsereturn 0;}for(i=0 ; i<pFileHeader->NumberOfSections ; i++)//循环遍历节表头{if( i )//遍历节表头,第一次不遍历,pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pSectionHeader + IMAGE_SIZEOF_SECTION_HEADER );if(RVA >= pSectionHeader->VirtualAddress )//是否大于这个节表的RVA{if( RVA <= pSectionHeader->VirtualAddress + pSectionHeader->SizeOfRawData )//判断是否在这个节区return ( RVA - pSectionHeader->VirtualAddress ) + pSectionHeader->PointerToRawData;//确定节区后,计算FOA}else//RVA不可能此时的pSectionHeader->VirtuallAddress小,除非是返回值为0的情况。return 0; }return 0;
}
三、FOA转为RVA
1.大致步骤
和VA转为FOA的步骤框架差不多,但细节不一样
第一步:判断FOA是否在PE头区。在PE头区FOA与RVA相等,直接返回这个FOA。
对比第一个节表头的PointerToRawData
若FOA < PointerToRawData则证明FOA在PE头区
第二步:若FOA没有在头区,就遍历节表头,寻找这个FOA位于哪个节表区。
循环遍历节表头,在该 节表头内 满足下列条件
PointerToRawData <= FOA < PointerToRawData + SizeOfRawData
即可确定FOA位于哪个节表头
第三步:找到FOA对应的节表区头后,计算并返回RVA的值
在对应的节表头区内,
RVA = (FOA - PointerToRawData) + VirtualAddress;
2.特殊情况
FOA超出文件内存的范围
3.C语言实现函数功能
| 说明 | 意义 |
|---|---|
| 函数名称 | size_t ConvertFoaToRva( size_t FOA , LPVOID pFileBuffer ) |
| 功能 | 将FOA转换为RVA |
| 参数 | 参数1:要转换的FOA值(size_t);参数2:指向文件内存的指针(LPVOID) |
| 返回值 | 成功则返回对应的RVA,失败返回0(此时为FOA越界) |
| 调用头文件 | stdio.h windows.h |
//功能:将FOA转换为RVA
//参数:参数1:要转换的FOA值(size_t);参数2:指向文件内存的指针(LPVOID);
//返回值:成功则返回对应的RVA,失败返回0(此时为FOA越界)。
size_t ConvertFoaToRva( size_t FOA , LPVOID pFileBuffer )
{int i = 0;//用于遍历节表。
// size_t RVA = 0;//定义表头指针PIMAGE_DOS_HEADER pDosHeader = NULL;PIMAGE_NT_HEADERS32 pNtHeader = NULL;PIMAGE_FILE_HEADER pFileHeader = NULL;PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;PIMAGE_SECTION_HEADER pSectionHeader = NULL;//给表头赋初值pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;pNtHeader = (PIMAGE_NT_HEADERS32)( (DWORD)pDosHeader + pDosHeader->e_lfanew );pFileHeader = (PIMAGE_FILE_HEADER)( (DWORD)pNtHeader + 4 );pOptionHeader = (PIMAGE_OPTIONAL_HEADER)( (DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);//第一个节表头pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pOptionHeader + pFileHeader->SizeOfOptionalHeader );if( FOA < pSectionHeader->PointerToRawData )//判断是否位于 头区return FOA ; //这是RVA == FOA ;for(i=0 ; i<pFileHeader->NumberOfSections ; i++)//循环遍历节表头{if( i )//遍历节表头,第一次不遍历,pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pSectionHeader + IMAGE_SIZEOF_SECTION_HEADER);if( FOA >= pSectionHeader->PointerToRawData )//是否大于这个节表的FOA{if( FOA < pSectionHeader->PointerToRawData + pSectionHeader->SizeOfRawData )//判断是否在这个节表区域return (FOA - pSectionHeader->PointerToRawData ) + pSectionHeader->VirtualAddress ;//计算并返回RVA} }return 0;
}
欢迎大家留言交流 ^ _ ^
这篇关于PE之FOA与RVA互相转换过程与C语言实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
![C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量](https://i-blog.csdnimg.cn/direct/cda2638386c64e8d80479ab11fcb14a9.png)
