首页
社区
课程
招聘
[求助]关于PE文件格式中节偏移的理解问题
发表于: 2012-3-21 11:06 6747

[求助]关于PE文件格式中节偏移的理解问题

2012-3-21 11:06
6747
+---------+---------+---------+---------+---------+---------+
| 段名称 虚拟地址 虚拟大小 物理地址 物理大小 标志 |
+---------+---------+---------+---------+---------+---------+
| Name VOffset VSize ROffset RSize Flags |
+---------+---------+---------+---------+---------+---------+
| .text 00001000 00000092 00000400 00000200 60000020|
| .rdata 00002000 000000F6 00000600 00000200 40000040|
| .data 00003000 0000018E 00000800 00000200 C0000040|
| .rsrc 00004000 000003A0 00000A00 00000400 C0000040|
+---------+---------+---------+---------+---------+---------+
文件虚拟偏移地址和文件物理偏移地址的计算公式如下:

>>>>>>>VaToFileOffset(虚拟地址转文件偏移地址)
如VA = 00401000 (虚拟地址)
ImageBase = 00400000 (基地址)
VRk = VOffset - ROffset = 00001000 - 00000400 = C00 (得出文件虚拟地址和文件物理址之间的VRk值)
FileOffset = VA - ImageBase - VRk = 00401000 - 00400000 - C00 = 400(文件物理地址的偏移地址)

如VA = 00401325,则:
FileOffset = VA - ImageBase - VRk = 00401325 - 00400000 - C00 = 725

>>>>>>FileOffsetToVa(文件偏移地址转虚拟地址)
如FileOffset = 435(文件偏移地址)
VA = FileOffset + ImageBase + VRk = 435 + 00400000 + C00 = 00401035(虚拟地址)


在学习PE时遇到关于节偏移的一点疑惑,以上是搜索论坛,原链接:http://bbs.pediy.com/showthread.php?t=18022
在加密解密和0day安全中得到的知识点:
FileOffset = VA - ImageBase - VRk


我的疑问是:
VRk = VOffset - ROffset,VOffset为虚拟地址,ROffset为物理地址也就是文件偏移地址,两值相减得出VRk。
通过FileOffset = VA - ImageBase - VRk 得出VRk =  VA - ImageBase - FileOffset,也就是VRk = RVA - FileOffset。
那VRk = VOffset(虚拟地址) - ROffset(物理地址) 和 VRk = RVA(相对虚拟地址) - FileOffset(物理地址)岂不是矛盾的?
RVA = VA - ImageBase,而VOffset和VA应该是同一个概念,FileOffset和ROffset是同一概念,这就造成了以上两个公式的矛盾。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 411
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
总感觉哪里理解错误了,麻烦了解的人给解下惑,多谢了。
2012-3-21 11:08
0
雪    币: 411
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
哈,明白了,VOffset = RVA,原来是这里的问题。纠结了一天了,终于清楚了,还是太马虎了。
2012-3-21 11:35
0
游客
登录 | 注册 方可回帖
返回
//