pe格式从入门到图形化显示(五)-RVA和FOA

mrack2024-04-12 22:16

文章目录

前言

通过分析和解析Windows PE格式,并使用qt进行图形化显示

一、什么是Windows PE格式中的RVA和FOA?

PE文件格式的RVA(相对虚拟地址)和FOA(文件偏移地址)是用于描述文件在内存和磁盘中的位置的概念。

RVA是相对于PE文件载入地址的偏移位置,它是一个相对的地址(偏移)。当PE文件在磁盘中时,某个数据位置相对于文件头的偏移量称为文件偏移地址(FOA)。

RVA在程序加载到内存时被使用,它指向程序在内存中的虚拟地址。FOA在程序未加载到内存时被使用,它指向程序在磁盘上的文件偏移量。

二、RVA和FOA互相转换

1.转换数据结构体

cpp 复制代码 
struct RVA2FOAInfo
{
    QString sectionName;
    DWORD FOA = 0;
    DWORD VA = 0;
    DWORD RVA = 0;
};

2.RVA转FOA

cpp 复制代码 
RVA2FOAInfo PEParser::RVA2FOA(DWORD rva)
{
    RVA2FOAInfo info;
    //如果内存对齐大小等于文件对齐大小,FOA==RVA
    if (m_sectionAlignment == m_fileAlignment)
    {
        info.VA = m_imageBase + rva;
        info.RVA = info.FOA = rva;
        return info;
    }
    //如果RVA在PE头部,FOA==RVA
    DWORD headerSize = sizeof(IMAGE_DOS_HEADER) + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER);
    if (m_x86Flag)
    {
        headerSize += sizeof(IMAGE_OPTIONAL_HEADER32);
    }
    else
    {
        headerSize += sizeof(IMAGE_OPTIONAL_HEADER64);
    }
    headerSize += sizeof(IMAGE_SECTION_HEADER) * m_fileHeader.NumberOfSections;
    if (rva <= headerSize)
    {
        info.VA = m_imageBase + rva;
        info.RVA = info.FOA = rva;
        return info;
    }
    for (int i = 0; i < m_sections.size(); ++i)
    {
        //判断RVA处在哪个节中
        if (rva >= m_sections[i].VirtualAddress && rva < (m_sections[i].VirtualAddress + m_sections[i].SizeOfRawData))
        {
            info.VA = m_imageBase + rva;
            info.RVA = rva;
            info.FOA = rva - m_sections[i].VirtualAddress + m_sections[i].PointerToRawData;
            info.sectionName = QString::asprintf("%s", m_sections[i].Name);
        }
    }
    return info;
}

3.FOA转RVA

cpp 复制代码 
RVA2FOAInfo PEParser::FOA2RVA(DWORD foa)
{
    RVA2FOAInfo info;
    //如果内存对齐大小等于文件对齐大小,FOA==RVA
    if (m_sectionAlignment == m_fileAlignment)
    {
        info.VA = m_imageBase + foa;
        info.RVA = info.FOA = foa;
        return info;
    }
    //如果RVA在PE头部,FOA==RVA
    DWORD headerSize = sizeof(IMAGE_DOS_HEADER) + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER);
    if (m_x86Flag)
    {
        headerSize += sizeof(IMAGE_OPTIONAL_HEADER32);
    }
    else
    {
        headerSize += sizeof(IMAGE_OPTIONAL_HEADER64);
    }
    headerSize += sizeof(IMAGE_SECTION_HEADER) * m_fileHeader.NumberOfSections;
    if (foa <= headerSize)
    {
        info.VA = m_imageBase + foa;
        info.RVA = info.FOA = foa;
        return info;
    }
    for (int i = 0; i < m_sections.size(); ++i)
    {
        //判断FOA处在哪个节中
        if (foa >= m_sections[i].PointerToRawData && foa < (m_sections[i].PointerToRawData + m_sections[i].SizeOfRawData))
        {
            info.RVA = foa - m_sections[i].PointerToRawData + m_sections[i].VirtualAddress;
            info.VA = m_imageBase + info.RVA;
            info.FOA = foa;
            info.sectionName = QString::asprintf("%s", m_sections[i].Name);
        }
    }
    return info;
}
相关推荐
小夏子_riotous13 小时前
openstack的使用——5. Swift服务的基本使用
linux·运维·开发语言·分布式·云计算·openstack·swift
学Linux的语莫13 小时前
Hyper-V的安装使用
linux·windows·ubuntu·hyper-v
城数派13 小时前
2025年南京市全类别POI(55W+数据)
数据库·arcgis·信息可视化·数据分析·excel
sycmancia13 小时前
Qt——布局管理器(一)
前端·qt
千码君201613 小时前
kotlin:Jetpack Compose 给APP添加声音(点击音效/背景音乐)
android·开发语言·kotlin·音效·jetpack compose
特立独行的猫a14 小时前
OpenHarmony平台移植 gifsicle:C/C++ 三方库适配实践(Lycium / tpc_c_cplusplus)
c语言·c++·harmonyos·openharmony·三方库适配·lycium
吴声子夜歌14 小时前
ES6——对象的扩展详解
开发语言·javascript·es6
aq553560014 小时前
编程语言对比:从汇编到PHP的四大层级解析
开发语言·汇编·php
hello world 99914 小时前
Cursor开发实战应用
c++·ai编程·cursor
kyle~14 小时前
工程数学---Eigen库(C++唯一标配线性代数库)
开发语言·c++·线性代数
热门推荐
01GitHub 镜像站点022026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元03一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛04基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南05免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手06Oh My Codex 快速使用指南07从限购到畅通:GLM-5.1 Coding Plan接入攻略08CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南09AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析10LLM Wiki:让大模型替你打理知识库的完整指南