PE文件-VA-FOA的转换

2023-10-12 02:40

文章标签 转换 va pe foa

本文主要是介绍PE文件-VA-FOA的转换，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

虚拟地址,相对虚拟地址,基地址

基地址(base):文件被加载到内存中的位置

虚拟地址(VA):4GB虚拟空间中任意一个位置

相对虚拟地址(RVA):相对于加载基地址的偏移

公式:虚拟地址(VA) = 加载基址(IimageBase)+相对虚拟地址(RVA)

PE文件会有一个默认的加载地址可选头的第10个成员ImageBase,当这个位置被其他文件占用,操作系统将会把文件装载到其他位置

FOA文件偏移

就是文件没有加载到内存前相对于0位置的偏移,也就是文件的任何一个地址

转换

我们知道文件的数据和内存的数据是一一对应的,但是因为对齐不同,文件通常0x200字节对齐

文件通常为0x1000 导致文件被加载到内存以后变大了

现在我们在OD里面随便找一个数据看他的地址在通过这个地址找到文件中这个数据

00401122这个是加载到内存的地址他的数据是E8 2D000000

我们看00400000为我们的模块的加载基地址

相对虚拟地址 (RVA)= 虚拟地址(va) - 加载基地址(base)

1122(RVA) = 00401122(VA) - 00400000(base)

接下来要看1122是相对虚拟地址相对与BASE的偏移我们知道PE文件是有很多段的这个某一段也就是节表中(IMAGE_SECTION_HEADER)virtualAddress段起始的位置要看1122落在了哪一个段

这里不对段表做解析

typedef struct _IMAGE_SECTION_HEADER {BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];union {DWORD   PhysicalAddress;DWORD   VirtualSize;} Misc;DWORD   VirtualAddress;DWORD   SizeOfRawData;DWORD   PointerToRawData;DWORD   PointerToRelocations;DWORD   PointerToLinenumbers;WORD    NumberOfRelocations;WORD    NumberOfLinenumbers;DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

直接看段表我们看到这个1122落在了.text段中

怎么看落在哪一个段条件为

if(1122>=virtualAddress && 1122=<virtualAddress+pointerRawData)

{

//命中

}

为什么加文件的大小数据映射到内存因为对齐值得不同导致内存要自行扩展内存自行扩展得一部分是没有真实得文件映射得所以要是给一个没有文件映射得RVA 文件中是没有这个数据得

我们分析这个段

内存开始得位置是00001000 一共在内存占用了00000184个字节

文件开始00000400 一共占用了200字节(对齐后)

.text段文件和内存只是开始的地方不同但是里面的数据相对于文件开始的偏移是相同的所以想找到文件中这个数据就要用1122 - 1000得到段内偏移再用段内偏移加文件中段开始的地方

400+122也就是我们的FOA

公式:FOA =RVA - RVA(区段)+FOA(区段)

FOA = 1122-virtualAddress+pointerToRawData

522 = 1122 - 1000 + 400

代码转换

// RVA 转 FOA
DWORD rva_to_foa(DWORD rva, PVOID file_buff)
{// 获取全部区段信息PIMAGE_DOS_HEADER dos_head = PIMAGE_DOS_HEADER(file_buff);PIMAGE_NT_HEADERS nt_head =PIMAGE_NT_HEADERS(dos_head->e_lfanew + (LONG)file_buff);// 获取文件头PIMAGE_FILE_HEADER file_head =PIMAGE_FILE_HEADER(&nt_head->FileHeader);// 区段数量DWORD count = file_head->NumberOfSections;// 获取到 第一个区段头信息  扩展头 + 自己的大小// 使用 宏 IMAGE_FIRST_SECTION 直接获取PIMAGE_SECTION_HEADER section_head = IMAGE_FIRST_SECTION(nt_head);// 循环遍历每一个区段for (int i = 0; i < count; i++){// 先判断要计算的 RVA 在哪一个区段中// 因为有一些未初始化的变量存在，内存大小是大于文件大小的。// 所以我们应该是用的是文件大小来计算落在哪一个区间中if (rva >= section_head->VirtualAddress&&rva <= section_head->VirtualAddress + section_head->SizeOfRawData){// 根据公式 RVA - 区段起始 VirtualAddress = FOA - 区段在文件中的起始偏移DWORD foa = rva - section_head->VirtualAddress + section_head->PointerToRawData;return foa;}section_head++;}}

这篇关于PE文件-VA-FOA的转换的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！