当前位置:网站首页>逆向调试入门-PE中的VA与RVA换算04/07

逆向调试入门-PE中的VA与RVA换算04/07

2022-06-30 12:36:00 51CTO


区块特点:


1、内存页的属性

2、节的偏移地址

3、节的尺寸

4、不进行映射的节


节事实上就是相同属性数据的组合。



逆向调试入门-PE中的VA与RVA换算04/07_逆向调试入门


文件与内存映射的关系


公式为


逆向调试入门-PE中的VA与RVA换算04/07_PE结构文件_02


RVA是相对虚拟地址(RelativeVirtualAddress)的缩写。RVA是当PE文件被装载到内存中后,某个数据位置相对于文件头的偏移量。


参考文章:

      
      

       
       https://javajgs.com/archives/44114
      
      

      
      
    
       
       
  • 1.
    •


在实际情况下,我们常常会遇到将代码段中访问的RVA转换成PA,在这种情况下需要读取⽂件头来做相应的转换。


逆向调试入门-PE中的VA与RVA换算04/07_逆向调试入门_03



转换过程


转换的⼀般步骤为:

1、将exe⽂件映射⼊内存中,读取Dos MZ Header,在这个结构中,我们能够通过e_lfanew来获取NT⽂件头相对于Dos⽂件头的偏移。


逆向调试入门-PE中的VA与RVA换算04/07_PE结构文件_04


MZ头部


逆向调试入门-PE中的VA与RVA换算04/07_PE结构文件_05


DOS头部相对于PE头部的偏移


2、获取到了NT⽂件头的地址,NT⽂件头中包含了两个⽂件头,⼀个是FILE⽂件头,⼀个是Optional可选⽂件头,在FILE⽂件头中我们可以读取到段的数量,在转换RVA地址的时候,我们只需要得到这个数量。


逆向调试入门-PE中的VA与RVA换算04/07_逆向调试入门_06


段的数量为8




3、将NT⽂件头之后紧跟着的就是SECTION TABLE,这是段描述头,在这个段描述头中,我们⼏乎可以获取到全部的段的资料。


VritualAddress: 这个是⼀个RVA地址,代表的意义是告诉PE加载器该段存在于RVA地址为VritualAddress处


逆向调试入门-PE中的VA与RVA换算04/07_逆向调试入门_07


VA为1000H


PointerToRawData: 这是⼀个物理偏移地址,告诉PE加载器将物理⽂件偏移PointerToRawData处的数据映射⼊VritualAddress处

VirtualSize: 该段的⼤⼩

SizeOfRawData: 该段的物理⼤⼩。由于存在对齐问题,所以该⼤⼩为不⼩于VirtualSize⼤⼩的对齐⼤⼩的整数倍。



4.通过遍历SECTION TABLE,判断要转换的RVA地址是否处于所有段的RVA地址范围内。该段的RVA范围为: VritualAddress + SizeOfRawData,当然更精确点是VirtualAddress + VirtualSize。


5.假如存在于地址范围内,那么我们可以通过要转换的RVA地址减去该段的VirtualAddress算出相对于该段的偏移量


6.将偏移量加上PointerToRawData,即可算出物理地址。


算法比较复杂。

我们使用OD工具分析。


逆向调试入门-PE中的VA与RVA换算04/07_逆向调试入门_08


我们看下地址00400200


逆向调试入门-PE中的VA与RVA换算04/07_逆向调试入门_09


果然这地址为code的代码块。

原网站

版权声明
本文为[51CTO]所创,转载请带上原文链接,感谢
https://blog.51cto.com/apple0/5429217

边栏推荐

猜你喜欢

随机推荐