PE文件-VA-FOA的转换

虚拟地址,相对虚拟地址,基地址

基地址(base):文件被加载到内存中的位置

虚拟地址(VA):4GB虚拟空间中任意一个位置

相对虚拟地址(RVA):相对于加载基地址的偏移

公式:虚拟地址(VA) = 加载基址(IimageBase)+相对虚拟地址(RVA)

PE文件会有一个默认的加载地址 可选头的第10个成员ImageBase,当这个位置被其他文件占用,操作系统将会把文件装载到其他位置

FOA文件偏移

就是文件没有加载到内存前 相对于0位置的偏移,也就是文件的任何一个地址

 转换

我们知道文件的数据和内存的数据是一一对应的,但是因为对齐不同,文件通常0x200字节对齐

文件通常为0x1000 导致文件被加载到内存以后变大了

现在我们在OD里面随便找一个数据看他的地址 在通过这个地址找到文件中这个数据

00401122这个是加载到内存的地址 他的数据是E8 2D000000

 我们看00400000为我们的模块的加载基地址

相对虚拟地址 (RVA)= 虚拟地址(va) - 加载基地址(base)

1122(RVA) = 00401122(VA) - 00400000(base)

接下来要看1122是相对虚拟地址 相对与BASE的偏移 我们知道PE文件是有很多段的 这个某一段也就是节表中(IMAGE_SECTION_HEADER)virtualAddress段起始的位置 要看1122落在了哪一个段

这里不对段表做解析 

typedef struct _IMAGE_SECTION_HEADER {BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];union {DWORD   PhysicalAddress;DWORD   VirtualSize;} Misc;DWORD   VirtualAddress;DWORD   SizeOfRawData;DWORD   PointerToRawData;DWORD   PointerToRelocations;DWORD   PointerToLinenumbers;WORD    NumberOfRelocations;WORD    NumberOfLinenumbers;DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

直接看段表 我们看到这个1122落在了.text段中 

怎么看落在哪一个段 条件为

if(1122>=virtualAddress && 1122=<virtualAddress+pointerRawData)

{

//命中

}

为什么加文件的大小 数据映射到内存因为对齐值得不同导致内存要自行扩展 内存自行扩展得一部分是没有真实得文件映射得所以要是给一个没有文件映射得RVA 文件中是没有这个数据得

 我们分析这个段

内存开始得位置是00001000 一共在内存占用了00000184个字节

文件开始00000400 一共占用了200字节(对齐后)

.text段 文件和内存只是开始的地方不同但是里面的数据相对于文件开始的偏移是相同的所以想找到文件中这个数据就要用1122 - 1000得到段内偏移 再用段内偏移加文件中段开始的地方

400+122也就是我们的FOA

公式:FOA =RVA - RVA(区段)+FOA(区段)

 FOA = 1122-virtualAddress+pointerToRawData

 522 = 1122 - 1000 + 400

 代码转换

// RVA 转 FOA
DWORD rva_to_foa(DWORD rva, PVOID file_buff)
{// 获取全部区段信息PIMAGE_DOS_HEADER dos_head = PIMAGE_DOS_HEADER(file_buff);PIMAGE_NT_HEADERS nt_head =PIMAGE_NT_HEADERS(dos_head->e_lfanew + (LONG)file_buff);// 获取文件头PIMAGE_FILE_HEADER file_head =PIMAGE_FILE_HEADER(&nt_head->FileHeader);// 区段数量DWORD count = file_head->NumberOfSections;// 获取到 第一个区段头信息  扩展头 + 自己的大小// 使用 宏 IMAGE_FIRST_SECTION 直接获取PIMAGE_SECTION_HEADER section_head = IMAGE_FIRST_SECTION(nt_head);// 循环遍历每一个区段for (int i = 0; i < count; i++){// 先判断要计算的 RVA 在哪一个区段中// 因为有一些未初始化的变量存在，内存大小是大于文件大小的。// 所以我们应该是用的是文件大小来计算落在哪一个区间中if (rva >= section_head->VirtualAddress&&rva <= section_head->VirtualAddress + section_head->SizeOfRawData){// 根据公式 RVA - 区段起始 VirtualAddress = FOA - 区段在文件中的起始偏移DWORD foa = rva - section_head->VirtualAddress + section_head->PointerToRawData;return foa;}section_head++;}}