RVA与FOA
RVA:相对虚拟地址
FOA:文件偏移地址
如果想改变一个全局变量的初始值,该怎么做?
- 有初始值的全局变量和没有初始值的全局变量是有区别的,没有初始值的全局变量在PE文件中根本没有它的位置。
- 只有当被文件被载入到内存中以后,才会给其变量分配内存地址存放它的值。
- 而有初始值的全局变量,它的初始值是存放在PE文件中的。
面临的问题是什么?
知道了全局变量的内存地址后,不能直接拿着该变量的地址去PE文件中搜索,因为在内存中展开的PE文件和在文件中的PE文件它们的对齐方式是不同的。
RVA到FOA的转换
- 得到RVA的值:内存地址 - ImageBase
- 判断RVA是否位于PE头中,如果是的话:FOA == RVA,直接返回。
- 判断RVA是否位于PE头中,如果不在,判断RVA位于哪个节:
- RVA >= 节.VirtualAddress
- RVA >= 节.VirtualAddress + 当前节内存对齐后的大小
- 差值 = RVA - 节.VirtualAddress
- FOA = 节.PointerToRawData + 差值