重定位表结构解析

最新推荐文章于 2023-09-07 10:17:46 发布
最新推荐文章于 2023-09-07 10:17:46 发布
阅读量784 收藏 4
点赞数
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/120931901
版权

目录

预备知识

一、相关实验

本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节表头解析以及RVA与文件偏移地址的转换》。
本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。

实验目的

1)了解重定位的原理;
2)了解PE文件的重定位表结构;
3)手工解析PE文件的重定位表。

实验环境

在这里插入图片描述
服务器:Windows XP,IP地址:随机分配
辅助工具:C32Asm、LordPE

实验步骤一

重定位原理以及重定位表结构解析。
本实验将介绍数据目录表的第六个成员——重定位表。
在介绍PE文件的OptionalHeader的时候,其中有一个成员ImageBase,它指定了程序的首选装载基地址,也就是说,如果条件允许的话,PE文件被加载到内存时将会被加载到这个基地址。而如果这个地址已经被其他模块所占用了的话,那么这个PE文件就不能再放到这个位置了,它需要在进程空间的其他地方找到一个合适的位置来装载,因为加载的基地址发生了变化,该PE文件引用的一些全局变量或者函数都需要进行重定位处理。
下面通过一个具体的例子来讲解需要进行重定位的场景。假设在EXE文件中存在下面这样一段代码,用于弹出一个MessageBox:
在这里插入图片描述
其中第三个参数为消息框的标题,这里引用了一个全局变量,地址为0x00402000。该EXE文件在OptionalHeader中ImageBase的值为0x00400000,那么可以算出这个字符串的RVA值为0x00402000-0x00400000=0x2000。
如果可执行文件的实际装载地址就是0x00400000,那么上述代码不需要进行任何修改就可以直接运行。但是如果实际的装载地址不是0x00400000(假设为0x00870000),那么0x00402000指向的位置就不再是原来的字符串了,那么原来的字符串现在去哪里了呢?这可以简单的计算出来:实际装载地址+RVA=0x00870000+0x2000=0x00872000。这里进行一下变形,因为有RVA=原始地址-首选装载地址,所以最后的地址为新地址=实际装载地址-首选装载地址+原始地址,进行重定位修改之后的代码如下:
在这里插入图片描述
在上述的例子中,重定位起到的作用就是将第二条指令从push 00402000修改为push 00872000,经过重定位修正之后,程序就能正常运行了。经过重定位操作之后,PE文件被加载到任意一个基地址都可以

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
定位
weixin_43990313的博客
07-12 618
概述 数据目录项的第6个结构,就是定位结构 定位结构 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; } IMAGE_BASE_RELOCATION; typedef IMAGE_BASE_RELOCATION ,* PIMAGE_BASE_RELOCATION; 该结构体有两个成员:一个是地址,一个是大小。如下图所示:一个定位由多个大小SizeOfB
定位详解
For Geek
05-10 3840
定位对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要定位信息的,因为DLL不一定加载到它默认的ImageBase上。定位作为一个单独的区块放到区块中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
内存与定位——定位的理论与代码实践(涉及位置有/无关码)
主要记录嵌入式学习与开发过程。
04-11 3516
以下内容源于朱有鹏嵌入式课程的学习与整理,如有侵权请告知删除。
2.7 PE结构定位详细解析
最新发布
CSDN
09-07 1万+
定位(Relocation Table)是Windows PE可执行文件中的一部分,主要记录了与地址相关的信息,它在程序加载和运行时被用来修改程序代码中的地址的值,因为程序在不同的内存地址中加载时,程序中使用到的地址也会受到影响,因此需要定位这个数据结构来完成这些地址值的修正。
输出定位
08-18
利用这个,如果特征码定位到了输出定位上的时候,你建就能达到免杀的目的
PE结构定位的分析.rar
01-10
1:包含一个dll,PElord工具和一个文档说明 2:用一个dll对PE结构中的定位进行了解析和数据还原
云云通 智能守护5 TCP 协议文档 定位器协议 定位协议
06-17
《云云通智能守护5 TCP协议文档:定位器与定位协议详解》 在智能穿戴设备领域,尤其是儿童定位、车载定位器、宠物定位器以及老人健康手中,TCP协议扮演着至关要的角色,它确保了设备与服务器之间的稳定...
so文件结构解析-python.docx
06-13
so文件结构解析 python 在Android开发中,so文件是不可或缺的一部分。so文件是指动态链接库文件,它... 定位:包含了so文件中的所有定位信息。当其他程序调用so文件中的函数时,需要将这些函数的地址定位到正确
机器人手部结构详解.ppt
10-01
《机器人手部结构详解》 在信息技术领域,工业机器人扮演着越来越要的角色,而其中的机器人手部,也就是末端操作器,是实现精准作业的关键组件。这篇讲解将深入剖析机器人手部的结构特点、设计要求以及分类。 ...
算法与数据结构设计课件-Cuckoo
06-12
总结来说,Cuckoo哈希是数据结构和算法设计中的一种创新,通过巧妙地组合哈希函数和动态定位策略,提供了一种在空间效率和操作性能之间取得平衡的字典实现方法。尽管Cuckoo哈希的最坏情况可能较差,但在实际使用中...
PE文件详解(八)
Masimaro的专栏
03-22 334
本文转载自小甲鱼PE文件详解系列教程原文传送门 当应用程序需要调用DLL中的函数时,会由系统将DLL中的函数映射到程序的虚拟内存中,dll中本身没有自己的栈,它是借用的应用程序的栈,这样当dll中出现类似于mov eax, [1000000]这样直接寻址的代码时,由于事先并不知道它会被映射到应用程序中的哪个位置,并且可能这个内存地址已经被使用,所以当调用dll中的函数时,系统会进行一个基址定位
定位的原理&实现
xuplus的专栏
04-15 7768
定位  病毒自身的定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
3.6ORB-SLAM3之定位Relocalization
超爱吃小蛋糕的66的博客
01-30 1793
MLPNP的核心思想是对于每一个3D空间点,连接空间点到相机光心可以得到一个法向量v,以及在切平面对应的一组正交基[r,s],然后将2D-3D点的投影匹配转换为使用正交基之间进行计算。
PE 定位
加号减减号的博客
05-04 1302
PE 定位简述 基址定位 IMAGE_BASE_RELOCATION TypeOffset 定位地址计算 定位过程总结 参考资料 PE 定位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然...
CSS中position中的各个属性
weixin_44139167的博客
09-11 587
static:position中默认元素,没有定位,出现在正常的流中。 relative:相对定位,可以利用left,right,top,bottom来给元素定位,所以变成相对定位。 absolute:绝对定位,是相对于除了static以外的第一个父元素进行定位,使用left right top bottom定位。 fixed:也是绝对定位,但是和absolute的绝对地位不一样,fixed相对于...
PE结构-定位
小喇叭儿滴滴的吹
03-04 361
首先,先来说一下为什么需要定位,先来观察一段程序 00401000 >/$ 6A 00 push 0 ; /Style = MB_OK|MB_APPLMODAL 00401002 |. 68 1D204000 push 0040201D ...
PE文件格式学习(八):基址定位
11-08 246
1.简介 基址定位位于数据目录中的第六个,它位于安全的后面。 这个的作用是用来索引那些需要定位的数据的。当系统发现DLL的真实加载基址跟PE文件中的ImageBase中的值不一样时,就会启用基址定位修复一些数据的地址。我们知道一个程序中可能包含多个DLL,因此有可能多个DLL之间的ImageBase是合的,一旦某个加载基址被占用了,系统就会随机分配一个基址给将要加载的D...
PE文件结构解析
qq_41672971的博客
08-01 301
定位解析
为什么要引入动态定位?如何实现
06-02
动态定位的目的是为了让程序能够在不同的内存地址空间中运行,从而避免内存地址的硬编码。这样做的好处是,程序可以更加灵活地运行在不同的系统中,而不需要修改程序代码。 动态定位的实现方式是,将程序代码和数据中的地址信息存储在特殊的数据结构中,而不是将地址信息硬编码到程序代码中。在程序运行时,加载器会将程序代码和数据加载到内存中,并根据内存地址的情况,将存储在数据结构中的地址信息动态地定位到实际的内存地址上。 具体来说,动态定位可以通过以下几个步骤来实现: 1. 在编译时,生成可定位目标文件(relocatable object file),该文件中包含了程序代码和数据的地址信息。 2. 在链接时,将多个可定位目标文件合并为一个可执行文件,并进行符号解析定位处理。 3. 在程序运行时,加载器会将可执行文件加载到内存中,并对其中的定位进行处理,将存储在定位中的地址信息动态地定位到实际的内存地址上。 总之,动态定位是一种将程序代码和数据与内存地址解耦的技术,它可以让程序更加灵活地运行在不同的系统中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值