pe格式从入门到图形化显示(五)-RVA和FOA

mrack2024-04-12 22:16

文章目录

前言

通过分析和解析Windows PE格式,并使用qt进行图形化显示

一、什么是Windows PE格式中的RVA和FOA?

PE文件格式的RVA(相对虚拟地址)和FOA(文件偏移地址)是用于描述文件在内存和磁盘中的位置的概念。

RVA是相对于PE文件载入地址的偏移位置,它是一个相对的地址(偏移)。当PE文件在磁盘中时,某个数据位置相对于文件头的偏移量称为文件偏移地址(FOA)。

RVA在程序加载到内存时被使用,它指向程序在内存中的虚拟地址。FOA在程序未加载到内存时被使用,它指向程序在磁盘上的文件偏移量。

二、RVA和FOA互相转换

1.转换数据结构体

cpp 复制代码 
struct RVA2FOAInfo
{
    QString sectionName;
    DWORD FOA = 0;
    DWORD VA = 0;
    DWORD RVA = 0;
};

2.RVA转FOA

cpp 复制代码 
RVA2FOAInfo PEParser::RVA2FOA(DWORD rva)
{
    RVA2FOAInfo info;
    //如果内存对齐大小等于文件对齐大小,FOA==RVA
    if (m_sectionAlignment == m_fileAlignment)
    {
        info.VA = m_imageBase + rva;
        info.RVA = info.FOA = rva;
        return info;
    }
    //如果RVA在PE头部,FOA==RVA
    DWORD headerSize = sizeof(IMAGE_DOS_HEADER) + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER);
    if (m_x86Flag)
    {
        headerSize += sizeof(IMAGE_OPTIONAL_HEADER32);
    }
    else
    {
        headerSize += sizeof(IMAGE_OPTIONAL_HEADER64);
    }
    headerSize += sizeof(IMAGE_SECTION_HEADER) * m_fileHeader.NumberOfSections;
    if (rva <= headerSize)
    {
        info.VA = m_imageBase + rva;
        info.RVA = info.FOA = rva;
        return info;
    }
    for (int i = 0; i < m_sections.size(); ++i)
    {
        //判断RVA处在哪个节中
        if (rva >= m_sections[i].VirtualAddress && rva < (m_sections[i].VirtualAddress + m_sections[i].SizeOfRawData))
        {
            info.VA = m_imageBase + rva;
            info.RVA = rva;
            info.FOA = rva - m_sections[i].VirtualAddress + m_sections[i].PointerToRawData;
            info.sectionName = QString::asprintf("%s", m_sections[i].Name);
        }
    }
    return info;
}

3.FOA转RVA

cpp 复制代码 
RVA2FOAInfo PEParser::FOA2RVA(DWORD foa)
{
    RVA2FOAInfo info;
    //如果内存对齐大小等于文件对齐大小,FOA==RVA
    if (m_sectionAlignment == m_fileAlignment)
    {
        info.VA = m_imageBase + foa;
        info.RVA = info.FOA = foa;
        return info;
    }
    //如果RVA在PE头部,FOA==RVA
    DWORD headerSize = sizeof(IMAGE_DOS_HEADER) + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER);
    if (m_x86Flag)
    {
        headerSize += sizeof(IMAGE_OPTIONAL_HEADER32);
    }
    else
    {
        headerSize += sizeof(IMAGE_OPTIONAL_HEADER64);
    }
    headerSize += sizeof(IMAGE_SECTION_HEADER) * m_fileHeader.NumberOfSections;
    if (foa <= headerSize)
    {
        info.VA = m_imageBase + foa;
        info.RVA = info.FOA = foa;
        return info;
    }
    for (int i = 0; i < m_sections.size(); ++i)
    {
        //判断FOA处在哪个节中
        if (foa >= m_sections[i].PointerToRawData && foa < (m_sections[i].PointerToRawData + m_sections[i].SizeOfRawData))
        {
            info.RVA = foa - m_sections[i].PointerToRawData + m_sections[i].VirtualAddress;
            info.VA = m_imageBase + info.RVA;
            info.FOA = foa;
            info.sectionName = QString::asprintf("%s", m_sections[i].Name);
        }
    }
    return info;
}
相关推荐
Fairy_sevenseven3 分钟前
【二十八】【QT开发应用】模拟WPS Tab
开发语言·qt·wps
_GR9 分钟前
每日OJ题_牛客_牛牛冲钻五_模拟_C++_Java
java·数据结构·c++·算法·动态规划
蜡笔小新星11 分钟前
Python Kivy库学习路线
开发语言·网络·经验分享·python·学习
凯子坚持 c11 分钟前
C语言复习概要(三)
c语言·开发语言
无限大.22 分钟前
c语言200例 067
java·c语言·开发语言
余炜yw24 分钟前
【Java序列化器】Java 中常用序列化器的探索与实践
java·开发语言
篝火悟者25 分钟前
问题-python-运行报错-SyntaxError: Non-UTF-8 code starting with ‘\xd5‘ in file 汉字编码问题
开发语言·python
Death20028 分钟前
Qt 中的 QListWidget、QTreeWidget 和 QTableWidget:简化的数据展示控件
c语言·开发语言·c++·qt·c#
六点半88829 分钟前
【C++】速通涉及 “vector” 的经典OJ编程题
开发语言·c++·算法·青少年编程·推荐算法
惜.己29 分钟前
javaScript基础(8个案例+代码+效果图)
开发语言·前端·javascript·vscode·css3·html5
热门推荐
01组基轨迹建模 GBTM的介绍与实现(Stata 或 R)02【经验分享】Ubuntu22.04安装微信(linux官方版)032024年高教社杯数学建模国赛C题超详细解题思路分析04分享几个惊艳的 Three.js 个人站点05安卓系列机型永久去除data分区加密 详细步骤解析06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07CTF网络安全大赛简单的web抓包题目:HEADache08Ubuntu24.04安装中文输入法09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10springer 在线投稿编译踩坑