-
-
[求助]关于PE文件格式中节偏移的理解问题
-
2012-3-21 11:06
6251
-
+---------+---------+---------+---------+---------+---------+
| 段名称 虚拟地址 虚拟大小 物理地址 物理大小 标志 |
+---------+---------+---------+---------+---------+---------+
| Name VOffset VSize ROffset RSize Flags |
+---------+---------+---------+---------+---------+---------+
| .text 00001000 00000092 00000400 00000200 60000020|
| .rdata 00002000 000000F6 00000600 00000200 40000040|
| .data 00003000 0000018E 00000800 00000200 C0000040|
| .rsrc 00004000 000003A0 00000A00 00000400 C0000040|
+---------+---------+---------+---------+---------+---------+
文件虚拟偏移地址和文件物理偏移地址的计算公式如下:
>>>>>>>VaToFileOffset(虚拟地址转文件偏移地址)
如VA = 00401000 (虚拟地址)
ImageBase = 00400000 (基地址)
VRk = VOffset - ROffset = 00001000 - 00000400 = C00 (得出文件虚拟地址和文件物理址之间的VRk值)
FileOffset = VA - ImageBase - VRk = 00401000 - 00400000 - C00 = 400(文件物理地址的偏移地址)
如VA = 00401325,则:
FileOffset = VA - ImageBase - VRk = 00401325 - 00400000 - C00 = 725
>>>>>>FileOffsetToVa(文件偏移地址转虚拟地址)
如FileOffset = 435(文件偏移地址)
VA = FileOffset + ImageBase + VRk = 435 + 00400000 + C00 = 00401035(虚拟地址)
在学习PE时遇到关于节偏移的一点疑惑,以上是搜索论坛,原链接:
http://bbs.pediy.com/showthread.php?t=18022
在加密解密和0day安全中得到的知识点:
FileOffset = VA - ImageBase - VRk
我的疑问是:
VRk = VOffset - ROffset,VOffset为虚拟地址,ROffset为物理地址也就是文件偏移地址,两值相减得出VRk。
通过FileOffset = VA - ImageBase - VRk 得出VRk = VA - ImageBase - FileOffset,也就是VRk = RVA - FileOffset。
那VRk = VOffset(虚拟地址) - ROffset(物理地址) 和 VRk = RVA(相对虚拟地址) - FileOffset(物理地址)岂不是矛盾的?
RVA = VA - ImageBase,而VOffset和VA应该是同一个概念,FileOffset和ROffset是同一概念,这就造成了以上两个公式的矛盾。
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
