标签：res   poi   转化   rto   bin   get   二进制   物理地址   区域   

　　　　　　　　　　PE格式第三讲扩展,VA,RVA,FA的概念

作者：IBinary
出处：http://www.cnblogs.com/iBinary/
版权所有，欢迎保留原文链接进行转载：)

一丶VA概念

VA (virtual Address) 虚拟地址的意思 ,比如随便打开一个PE,找下它的虚拟地址

这边都是.

二丶模块地址(image Base)

模块地址,就是exe加载到内存的时候,所在的地址,

比如MZ位置,在那个位置,那么对应模块地址就是这个位置

在OD中的内存中查看就是PE头

三丶RVA(relative Virtual Address) 相对虚拟地址偏移

假设我们找一个虚拟地址

VA = 0X4001200   (虚拟地址)

那么算出他的相对偏移

那么我们就要看他属于内存中那个节区了

可以看出,是在401000 ~ 41500之间,那么我们就用401000即可.

RVA = VA - 401000  得出的就是相对于虚拟地址的偏移

简化

RVA = 401200 - 401000 = 200(RVA)  那么偏移就是200了

四丶FA(RAW)(File Address) 或者叫做  FOA (File Ofseet Address) 

FA就是文件中的地址.

那么这个要看我们的节表了

节表(就是那个区)上面我们看了是.text 也就是代码区,正好是属于第一个节表,那么看第一个节表中的PointerToRawData成员即可.

五丶VAtoRaw(虚拟地址,转化为文件偏移位置,就是虚拟地址的代码,在文件那个偏移位置存储)

首先你要明白 RVA 怎么计算,FA怎么看.

我们随便找一个PE文件(我用最小的标准PE)

我要找40101A虚拟地址,在文件中的位置.

思路:

1.获得虚拟地址(VA)  现在是40101A

2.查看属于哪个节区表(点击内存查看,OllyDbg)

大于401000,小于402000,所以节区属于代码区,也就是.text这个区域

3.算出RVA(相对虚拟地址偏移)

RVA = VA - 内存中节区地址

代入得到:

RVA = 40101A - 401000 

RVA = 1A   (相对虚拟地址偏移是1A)

4.RVA + 文件中的(相同节表,比如上面是.text,那么文件中看的节表就是.text这个节表)节表中的PointerToRawData成员记录的大小 得出虚拟地址在文件中的偏移

1A + (文件中节表的偏移) = 实际虚拟地址在文件偏移记录的代码地址.

1A + 200 = 21A  (虚拟地址在文件中的偏移)

200要查看节表,还记得上面我们算RVA的时候吗,找的是内存中节区的地址,而这个地址正好是.text代码区

那么在文件中我们也要找到这个位置.,节表是第一个,第一个就是,而表中存放的文件偏移就是200

那么现在去文件中的21A位置查看一下,看看是否是我们虚拟地址的代码.

正是我们要找的地址,那么由此可以得出物理地址的代码位置,在文件中存放的偏移在哪里.

总结:

　　其实很简单,首先看属于哪个节表的,  那么先算出RVA的值,然后让RVA + 文件中相同节表中的成员(PointRawData)  那么最终就是虚拟地址代码,在文件偏移的位置.

举个例子

VA = 401456

RVA = 401456 - (.text的位置当然这个你得自己看,可能不是,这里默认是了)401000 = 456

FA = 456 + (文件中节表中的PointRawData,我假设是200,这里具体看PE中怎么存储的)200 = 656(十六进制)

那么这个656文件偏移处,记录的就是 虚拟地址(VA)401456的二进制代码.

如果不懂请下方评论.

作者：IBinary
出处：http://www.cnblogs.com/iBinary/
版权所有，欢迎保留原文链接进行转载：)

PE格式第三讲扩展,VA,RVA,FA(RAW),模块地址的概念

标签：res   poi   转化   rto   bin   get   二进制   物理地址   区域   

原文地址：http://www.cnblogs.com/iBinary/p/7653693.html