PE导出表、重定位详解

最新推荐文章于 2024-07-13 22:55:30 发布
最新推荐文章于 2024-07-13 22:55:30 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21000273/article/details/53958114
版权
本文详细介绍了PE文件的导出表和重定位信息,包括导出表的结构、如何转换虚拟地址到相对文件地址,以及重定位表的数据结构和计算重定位位置的方法。通过实例展示了如何查找导出函数地址和进行重定位操作。
摘要由CSDN通过智能技术生成

此文档主要讲解导出表,重定位信息:

使用例子为: Windows.UI.Xaml.dll、010editor

1、导出表,重定位表的地址存放在哪里

DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录表

数据目录表中的内容:

structIMAGE_DATA_DIRECTORY  Export                   (1)

……

StructIMAGE_DATA_DIRECTORY BaseRelocationTable (6)

 

Typedef  struct IMAGE_DATA_DIRECTORY {

DWORDVirtualAddress ; //此处地址为在内存中的地址

DWORD  size ;

}

如下图信息:


2、这里是VirtualAddress,如何转变成相对文件地址:

根据pe文件的区段表进行转换:

去段表的结构:

Typedefstruct  _IMAGE_SECTION_HEADER{

BYTEName[0x8];

Union{

DWORDPhysicalAddress;

DWORDVirtualSize ;

}

DWORDVirualAddress ;

DWORDSzieOfRawData;

DWORDPointerToRawData;

DWORDPointerToRelocations;

DWORDPointerToLinenumbers;

WORDNumberOfRelocations;

WORDNumberOfLinenumbers;

DWORDCharacteristics;

}

查看需要转换的RVA在哪一个区段中。比如:VirualAddress (比如:此地址为第一个模块地址)<RVA <VirualAddres(第二个模块地址),那么RVA应该依据第一个模块进行转换:RVA-VirualAddress+PointerToRawData=offset(相对文件偏移)

最低0.47元/天 解锁文章
小猪背书包
关注
专栏目录
PE结构-重定位
小喇叭儿滴滴的吹
03-04 382
首先,先来说一下为什么需要重定位,先来观察一段程序 00401000 >/$ 6A 00 push 0 ; /Style = MB_OK|MB_APPLMODAL 00401002 |. 68 1D204000 push 0040201D ...
PE结构导出详细解析
huobengle
01-27 523
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
PE文件(十)重定位
最新发布
2301_78838647的博客
07-13 935
重定位的引入程序加载过程在win32下,每一个PE文件(其可能由多个子PE文件组成)在运行时,操作系统会给分配一个独立的4GB虚拟内存,内存地址从0x00000000到0xFFFFFFFF。其中低2G为用户程序空间,高2G为操作系统内核空间。并且操作系统会将该文件中数据拉伸成内存中数据,从ImageBase开始,分配SizeOfImage大小空间当一个主PE文件由很多个子PE文件组成,当我们运行主PE文件时,所有的PE文件共享操作系统分配的一个4GB虚拟空间。
PE重定位
不会写代码的丝丽
04-10 1131
前言 首先看一个问题,假设我们的某个EXE/DLL首选加载地址是0x10000,但实际由于随机基质等原因实际加载地址与首选地址产生的偏移。 我们首先看一个exe的静态反编译结果 我们看到00411E98这个地址的反汇编指令是MOV EAX,[41A014H] 我们再看看动态加载这个EXE后的结果 这个你可以明显看到这个指令变成了eax dword ptr[09FA014h],这个读取地址从41A014H到09FA014h变化。这就是因为基地址实际装载有变化因此需要对于实际地址的命令做出改变。 为了解
PE格式第七讲,重定位
weixin_30532369的博客
10-19 153
         PE格式第七讲,重定位 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶何为重定位(注意,不是重定位格) 首先,我们先看一段代码,比如调用Printf函数,使用OD查看. 那么大家有没有想过这么一个问题,函数的字符串偏移是00407030位置,函数Call的地址是00401020的...
WIN32 PE结构 重定位
whl0071的专栏
02-25 219
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址被应用程序占据了或者被其它的DLL占据了,也是很正常的,这时它就不得不进行重定位了。 哪些数据需要重定位: :00401000 55...
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
- **重定位**:PE文件可能需要在不同的内存地址加载,因此包含了重定位信息,以修正代码和数据的相对地址。 - **调试信息**:PE文件可以包含调试信息,帮助开发者调试程序。 - **安全特性**:如数字签名,确保...
小甲鱼PE详解之基址重定位详解PE详解10)
07-29 4940
上一讲:小甲鱼PE详解之输出导出详解今天有一个朋友发短消息问我说“老师,为什么PE的格式要讲的这么这么细,这可不是一般的系哦”。其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做,主要原因是因为PE结构非常重要,再说做这个课件的确是
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
- **重定位**:当PE文件被加载到内存时,由于地址空间的变化,可能需要对某些地址进行修正,重定位就是为此目的而存在的。 - **调试信息**:包含了帮助调试程序的额外信息。 - **TLS(线程局部存储)**:用于...
PE文件格式总结 - DOS文件头、PE文件头、节详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节详解
PE结构中重定位的分析.rar
01-10
1:包含一个dll,PElord工具和一个文档说明 2:用一个dll对PE结构中的重定位进行了解析和数据还原
移动导出重定位
qq_41232519的博客
09-06 422
文章目录一、移动导出二、移动重定位 一、移动导出 第一步:在DLL中新增一个节,并返回新增后的FOA 第二步:复制AddressOfFunctions 长度:4*NumberOfFunctions 第三步:复制AddressOfNameOrdinals 长度:NumberOfNames*2 第四步:复制AddressOfNames 长度:NumberOfNames*4 第五步:复制所有的函数名 长度不确定,复制时直接修复AddressOfNames
PE-重定位
qq_51600802的博客
10-27 943
按照上述思路,可写代码打印重定位的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
PE_重定位
个人笔记
04-05 461
重定位概述为什么需要重定位存在?重定位定位重定位项IMAGE_BASE_RELOCATION结构结构详解定位实例 概述 加载PE文件到虚拟内存时,EXE默认IMAGEBASE一般为400000,DLL默认IMAGEBASE一般为10000000。 一般情况下,EXE都是可以按照ImageBase的地址进行加载的.因为Exe拥有自己独立的4GB 的虚拟内存空间。 但DLL 不是 DLL是有EXE使用它,才加载到相关EXE的进程空间的。 为了提高搜索的速度,模块间(各个Dll之间)地址也是
PE结构之重定位
輚至消亡
09-27 490
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址被应用程序占据了或者被其它的DLL占据了,也是很正常的,这时它就不得不进行重定位了。 哪些数据需要重定位: :00401000 55...
PE目录项之重定位(解析、移动、模拟运作)
qq_35289660的博客
07-03 1548
PE目录项之重定位(解析、移动、模拟运作) 文章目录PE目录项之重定位(解析、移动、模拟运作)0.说明1.解析重定位(1)作用(2)详解2.移动重定位到新建节区3.模拟重定位工作(1)重定位的工作(2)模拟它工作4.C源代码(1)解析重定位(2)移动重定位(3)模拟重定位工作 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水逆向视频总结(部分截图来自于滴水课件) 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:124588
PE文件(3)重定位
nyzdmc的博客
03-02 499
PE文件(3)重定位 重定位概念 程序编译时每个模块有一个优先加载地址ImageBase,这个值是链接器给出的,因此链接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,那么一旦程序没有将模块加载到ImageBase时,那么程序中的指令地址就需要重新定位,从而需要重定位的修正。   对于EXE应用程序来说,在自己独立的4G进程空间中,它是肯定加载到ImageBa...
Windows PE/COFF文件格式详解
6. **重定位信息**:由于不同处理器的内存布局可能不同,PE文件可能包含重定位项,用于调整代码和数据在内存中的地址。 7. **调试信息**:PE文件可以包含调试信息,如PDB(Program Database)文件路径,帮助开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值