星綻紫輝(rawdata)的Blog

快樂地學習，快樂地工作！

C++博客 :: 首頁 :: 聯系 :: 聚合

:: 管理

16 Posts :: 0 Stories :: 37 Comments :: 0 Trackbacks

常用鏈接

留言簿(5)

我參與的團隊

隨筆檔案(16)

精品文章

Windows XP系統中如何屏蔽 Ctrl+Alt+Del、Alt+Tab以及Ctrl+Esc鍵序列

喜好鏈接

CCTV
谷歌搜索
我的藍月博客
中鳴機器人

搜索

閱讀排行榜

評論排行榜

將RVA(相對虛擬地址)地址轉化成Offset VA(偏移地址)

     原創：星綻紫輝 2009-1-4     轉載請注明出處: http://m.shnenglu.com/rawdata

      RVA(reverse virtual address) 和 VA 地址的概念我就不說了，網上一大堆，就看你有沒有心去找了。在解析PE文件格式時，需要將RVA地址轉化成VA地址，才能對如:IMAGE_IMPORT_DESCRIPTOR類的結構進行正確訪問。這樣，exe/dll等導出的函數和導入的函數等重要信息你就可以獲得了。

      我寫的這段函數是參考羅云彬的匯編主頁上的PE文件格式的匯編代碼，是由GuFeng翻譯 Iczelion的,現在我寫成C/C++的形式,以供參考。

//RVA To Offset

DWORD CPEReaderDlg::RVAToOffset(DWORD pMapping,DWORD dwRVA)

{

//Defines

DWORD pNTDst = 0;

IMAGE_DOS_HEADER* pidh = (IMAGE_DOS_HEADER*)pMapping;

pNTDst = pMapping + pidh->e_lfanew;

DWORD pSeDst = pNTDst;

IMAGE_NT_HEADERS* pinh = (IMAGE_NT_HEADERS*)pNTDst;

IMAGE_SECTION_HEADER* pish = NULL;

//First Session

pSeDst = pNTDst + sizeof(IMAGE_NT_HEADERS);

pish = (IMAGE_SECTION_HEADER*)pSeDst;

//Session Count

UINT nCount = pinh->FileHeader.NumberOfSections;

DWORD dwPosTmp = 0;

//Scan

for(UINT i=0;i<nCount;i++)

{

if(dwRVA>=pish->VirtualAddress)

{

dwPosTmp = pish->VirtualAddress;

dwPosTmp += pish->SizeOfRawData;

}

if(dwRVA<dwPosTmp)

{

dwRVA = dwRVA - pish->VirtualAddress;

return dwRVA + pish->PointerToRawData;

}

pish = pish + 1;//sizeof(IMAGE_SECTION_HEADER);

}

return -1;

}

      其中的pMapping 是目標exe/dll文件的內存映像指針，由(MapViewOfFile返回),dwRVA為相對地址，返回的是該PE程序在內存的對應dwRVA的偏移地址，得到VA就很簡單了：VA = pMapping + 返回值. (返回-1標識無效.)

      如果代碼有什么謬誤或者待完善的地方，請留言或EmailToMe:xiaolu69soft@yahoo.com.cn.

      2009-1-4   星綻紫輝(rawdata)

posted on 2009-01-04 12:41 星綻紫輝閱讀(2457) 評論(1) 編輯收藏引用

Feedback

# re: 將RVA(相對虛擬地址)地址轉化成Offset VA(偏移地址) 2012-03-03 16:18 憑凡 fire_the_hole@163.com

NICE，我直接復制走了~~~謝謝哈回復更多評論

刷新評論列表

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！



網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理