一丶VA概念
VA (virtual Address) 虚拟地址的意思 ,比如随便打开一个PE,找下它的虚拟地址
这边都是.
二丶模块地址(image Base)
模块地址,就是exe加载到内存的时候,所在的地址,
比如MZ位置,在那个位置,那么对应模块地址就是这个位置
在OD中的内存中查看就是PE头
三丶RVA(relative Virtual Address) 相对虚拟地址偏移
假设我们找一个虚拟地址
VA = 0X4001200 (虚拟地址)
那么算出他的相对偏移
那么我们就要看他属于内存中那个节区了
可以看出,是在401000 ~ 41500之间,那么我们就用401000即可.
RVA = VA - 401000 得出的就是相对于虚拟地址的偏移
简化
RVA = 401200 - 401000 = 200(RVA) 那么偏移就是200了
四丶FA(RAW)(File Address) 或者叫做 FOA (File Ofseet Address)
FA就是文件中的地址.
那么这个要看我们的节表了
节表(就是那个区)上面我们看了是.text 也就是代码区,正好是属于第一个节表,那么看第一个节表中的PointerToRawData成员即可.
五丶VAtoRaw(虚拟地址,转化为文件偏移位置,就是虚拟地址的代码,在文件那个偏移位置存储)
首先你要明白 RVA 怎么计算,FA怎么看.
我们随便找一个PE文件(我用最小的标准PE)
我要找40101A虚拟地址,在文件中的位置.
思路:
1.获得虚拟地址(VA) 现在是40101A
2.查看属于哪个节区表(点击内存查看,OllyDbg)
大于401000,小于402000,所以节区属于代码区,也就是.text这个区域
3.算出RVA(相对虚拟地址偏移)
RVA = VA - 内存中节区地址
代入得到:
RVA = 40101A - 401000
RVA = 1A (相对虚拟地址偏移是1A)
4.RVA + 文件中的(相同节表,比如上面是.text,那么文件中看的节表就是.text这个节表)节表中的PointerToRawData成员记录的大小得出虚拟地址在文件中的偏移
1A + (文件中节表的偏移) = 实际虚拟地址在文件偏移记录的代码地址.
1A + 200 = 21A (虚拟地址在文件中的偏移)
200要查看节表,还记得上面我们算RVA的时候吗,找的是内存中节区的地址,而这个地址正好是.text代码区
那么在文件中我们也要找到这个位置.,节表是第一个,第一个就是,而表中存放的文件偏移就是200
那么现在去文件中的21A位置查看一下,看看是否是我们虚拟地址的代码.
正是我们要找的地址,那么由此可以得出物理地址的代码位置,在文件中存放的偏移在哪里.
总结:
其实很简单,首先看属于哪个节表的, 那么先算出RVA的值,然后让RVA + 文件中相同节表中的成员(PointRawData) 那么最终就是虚拟地址代码,在文件偏移的位置.
举个例子
VA = 401456
RVA = 401456 - (.text的位置当然这个你得自己看,可能不是,这里默认是了)401000 = 456
FA = 456 + (文件中节表中的PointRawData,我假设是200,这里具体看PE中怎么存储的)200 = 656(十六进制)
那么这个656文件偏移处,记录的就是 虚拟地址(VA)401456的二进制代码.
没优化过的公式
VA = 401234
Image Bae = 400000
RVA = 401234 - 400000 = 1234
VPK = (内存中节区首地址 - image base) - 文件中节区的偏移地址(PointerToRawData 字段)
(401000 - 400000 ) - 400(这个值自己看文件,不一定是400)= 1000 - 400 = C00(vpk);
FA = RVA - VPK = 1234 - C00 = 634
例子:
已经知道VA = 401456
计算FA位置
RVA = 401456 - 00400000 = 1456
VPK = (401000 - 400000) - 文件中PointerToRawData 字段
= 1000 - 400 = C00
FA = RVA - VPK
= 1456- C00 = 856
优化的公式
FA = VA - 内存中节区地址 + 文件PointerToRawData 字段
列如VA = 401596
当然,节区你要看内存,上面已经说了怎么看.(怎么看节区表)
401596 - 401000 + 400
= 596 + 400
= 996 (FA)
如果按照上面的公式,我们再来计算一遍
VA = 401596
IMAGEbase = 400000
RVA = (虚拟地址 - 模块地址)
=401596 - 400000
= 1596
VPK = (节区表首地址- 模块地址) - 节表中的文件PointerToRawData 字段
= 401000 - 40000 - 400
= 1000 - 400
= C00 (vpk)
FA = RVA - VPK
= 1596 - C00
= 996
四丶文件偏移,转为虚拟地址
首先计算文件偏移,我们需要知道文件的位置
比如
1.你要知道一个文件位置, (随便哪个都行,把它转换为内存虚拟地址)
2.我们要知道 文件偏移位置的大小,(也就是上面说的节表中的 PointerToRawData 字段)
3.我们要知道你给的文件位置属于哪个区,这个是根据 上面计算出来FA的首地址的出来的
已经知道FA = 996
计算公式为
VA = FA +imagebase(模块首地址) + VPK
VPK的值就是你要计算的
VPK = (内存中的节区表 - 模块地址) - PointerToRawData字段
代入公式得
VA = 996 + 40000 + (401000 - 400000 - 400)
= 40996 + C00
= 41596 (虚拟地址位置)