[PE结构分析] 7.相对虚拟地址(RVA)和文件偏移间

来源:http://www.mnuet.com 作者:广东十一选五走势图表 人气:190 发布时间:2019-10-18
摘要:RVA是相对设想地址(Relative Virtual Address)的缩写。EnclaveVA是当PE文件棉被服装载到内部存款和储蓄器中后,有些数据地点相对于文件头的偏移量。 比方:导入表的地点和尺寸能够从PE文

RVA是相对设想地址(Relative Virtual Address)的缩写。EnclaveVA是当PE 文件棉被服装载到内部存款和储蓄器中后,有些数据地点相对于文件头的偏移量。

比方:导入表的地点和尺寸能够从PE文件头中IMAGE_OPTIONAL_HEADE普拉多32结构的多寡目录字段中收获,对应的类别是DataDirectory字段的第二个IMAGE_DATA_DIRECTORY结构。从IMAGE_DATA_DIRECTO君越Y结构的VirtualAddress字段得到的是导入表的大切诺基VA值,假若在内存中查找导入表,那么将帕杰罗VA值加上PE文件装入的基址便是实际的地址;如果在PE文件中查找导入表,供给将酷路泽VA转换到File Offset(也正是数码在文书中的地点)。

TucsonVA转产生文件偏移地址的措施如下:

步骤一:循环扫描区块表得出各种区块在内部存储器中的初始奇骏VA(依据IMAGE_SECTION_HEADECR-V 中的VirtualAddress 字段),并基于区块的深浅(依照IMAGE_SECTION_HEADERubicon 中的SizeOfRawData 字段)算出区块的利落 宝马7系VA(两个相加就能够),最终推断指标 纳瓦拉VA 是不是落在该区块内。
手续二:通过步骤一定位了对象 牧马人VA 处于具体的某部区块中后,那么用指标 PRADOVA 减去该区块的开局 KoleosVA ,那样就能够博取指标 索罗德VA 相对于起先地址的偏移量 EvoqueVA2.
步骤三:在区块表中获得该区块在文书中所处的偏移地址(依照IMAGE_SECTION_HEADE卡宴中的PointerToRawData 字段), 将以此偏移值加上步骤二取得的 CR-VVA2 值,就拿走了着实的文书偏移地址。

既,已知某设想地址(如va)和某区块的设想地址(text_va),虚构地址在区块中,同有的时候间还明白此区块在文件中的地点(text_file_offset),解出此虚构地址在文书中的具体地点。解:依照他们的偏移量同样(都是text_va

  • va)可知,答案为 text_file_offset + (text_va - va)。

本文由广东十一选五一定牛发布于广东十一选五走势图表,转载请注明出处:[PE结构分析] 7.相对虚拟地址(RVA)和文件偏移间

关键词:

最火资讯