PE手动重定位

最新推荐文章于 2023-04-11 20:55:21 发布
最新推荐文章于 2023-04-11 20:55:21 发布
阅读量573 收藏
点赞数
分类专栏: windows bin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/103086437
版权
bin 同时被 2 个专栏收录
41 篇文章 1 订阅
订阅专栏
windows
26 篇文章 2 订阅
订阅专栏

文章目录


本文已在看雪论坛发布。

工具:RadAsm,010 Editor,LordPE。

源码

	.386
	.model flat,stdcall
	option casemap:none

include		msvcrt.inc
includelib	msvcrt.lib

.data
szText	db	'welcome', 0ah, 00h
szPause db	'pause', 00h
.code

main:
	
	push offset szText
	call crt_printf
	add esp, 4
	
	push offset szPause
	call crt_system
	add esp, 4

	ret
end main

end

输出一句“welcome”,然后执行system(pause)

运行

在这里插入图片描述

然后。用010Editor打开,开启重定位。

在这里插入图片描述
在这里插入图片描述

关于这两个属性,文件头中的IMAGE_FILE_RELOCS_STRIPPED是去除重定位信息的意思,可选头中的IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE是动态基址的意思,前者置0,不去除信息;后者置1,开启动态基址。

再次用OD加载。

在这里插入图片描述

可以看到,加载基址变了,但是两个字符串还有两个函数的地址还是没有变,导致程序不能运行。下面就要添加重定位信息,让它们一块改变。

添加重定位信息

要分清楚区段和数据目录表的关系。添加重定位信息要修改的是数据目录表下标为5那一项,不是添加.reloc区段(而且添加了也没法加载)。区段是规定了属性,真正用来找到重定位信息的是数据目录表。

在PE中找个位置,我选择了700H,然后计算它的RVA。

在这里插入图片描述
根据LordPE,700H位于rdata段,RVA==700h-600h+2000h==2100h

我们有两个字符串和两个函数需要重定位,也就是4个WORD,加上两个DWORD,大小SizeOfBlock == 10H。数据目录表中的size还要算上结尾两个0,所以是12h.

在这里插入图片描述

//
// Based relocation format.
//
typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;		//RVA
    DWORD   SizeOfBlock;
//  WORD    TypeOffset[1];	//end with [00 00]
} IMAGE_BASE_RELOCATION;

struct {
    WORD Offset:12;     //lower 12 bit relocation offset
    WORD Type:4;	//higher 4 bit relocation type value : Based relocation types above
}TypeOffset;

因为我们的程序是32位,所以重定位项的最高位Type为3(IMAGE_REL_BASED_HIGHLOW),64位的PE通常为A(IMAGE_REL_BASED_DIR64)。

根据第一张OD加载截图,VirualAddress==1000H,4个偏移分别为001h, 007h, 00fh, 015h

这样,重定位信息就完成了。

00000700: 00 10 00 00 10 00 00 00 01 30 07 30 0F 30 15 30

再次用OD加载看一下。

在这里插入图片描述

4个位置的opcode都有了下划线,说明有重定位,运行也没有问题。

CodeStarr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
win32汇编以.386指令的MASM32题目做题记录 -- 循环结构
托卡的博客
03-14 1632
//最大公约 .386 .model flat,stdcall option casemap:none include kernel32.inc includelib kernel32.lib includelib msvcrt.lib scanf PROTO C:DWORD,:vararg printf PROTO C:DWORD,:vararg .data InFmt BYTE '%d ...
PE文件重定位表(为什么需要重定位和如何重定位
weixin_43742894的博客
03-31 1237
**为什么重定位?** 重定位就是修正PE文件的地址。 PE文件有着默认的基址(ImageBase默认为0x40000000),理论上当PE要加载的时候,就会占据这个地址,但是当这个地址因为一些原因,被占用而不能被加载时,PE文件就被加载到其他地方了,这时候就需要基址重定位了。
pe重定位及修正
一叶知秋
02-25 1095
#include "stdafx.h" #include <windows.h>   #include <iostream>      class MemBlock {   public:       MemBlock() : m_buff(NULL) {}          bool alloc(size_t size) {           m_buff = Vi...
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
rgb565和rgb555的文件头区别_Windows可执行文件格式
weixin_39653311的博客
12-11 410
前言下文提及的相关数据结构,代码片段均为64位环境,32位环境会加以标注. PE文件PE(即PortableExecutable)表示可移植的可执行文件,是Windows平台原生的可执行代码载体(此处要区别于NET的IL,JAVA的字节码等),Windows平台所有可以被加载执行的文件都遵从PE文件格式。注:在linux平台下的可执行文件都遵从ELF文件格式,PE与ELF文件格式都...
VC++实现PE文件分析工具
12-15
同时,理解PE文件格式的内部细节,如如何解析节表、提取导出和导入函数、查找资源、处理重定位信息等,也是必不可少的。 在项目“VC++实现PE文件分析工具”的实践中,可能涉及以下功能模块: 1. 文件读取:读取PE...
C++17 PE manualmapper.zip
最新发布
01-05
2. **PE文件格式**:了解PE文件的结构,如DOS头、NT头、节区表、导入和导出表、资源和重定位信息等,这是手动映射PE文件的基础。 3. **内存管理**:学习如何在C++中动态分配内存,使用VirtualAlloc等API在进程地址...
PE Optimizer V1.4 汉化美化版
12-30
- 数据区则包含代码、初始化和未初始化的数据、资源(如图像、字符串等)、重定位信息以及调试信息等。 2. **优化目标**: - **代码优化**:通过减少指令冗余、优化循环结构、合并重复代码等方式提高程序运行效率...
PE加载器
11-28
接着,加载器会处理重定位信息,修正由于加载地址变化而产生的指针错误。最后,执行初始化代码,如调用DLL的`DllMain`函数或EXE的入口点。 **从内存加载DLL文件** 从内存加载DLL是一种高级编程技巧,常用于动态...
查壳 ExEinfo PE%2B脱壳工具
08-15
工具能够解析PE头信息,包括节表、导入/导出表、资源、重定位等,从而帮助用户识别出文件是否被加了壳,以及使用了哪种壳技术。 脱壳,顾名思义,就是移除加在程序上的壳,以揭示其原始的、未被保护的代码。这个...
ASLR_disabler:在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXEPE映像
05-28
ASLR_disabler 在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXE / PE映像 该软件通过强制固定映像库来对EXE进行黑客攻击,以使ASLR受到重大安全破坏,从而禁用ASLR,因此,软件工程师可以使用该软件来开发例如功能劫持。 这是PE的一部分:IMAGE_OPTIONAL_HEADER中的WORD DllCharacteristics,标志:IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(0x0040)记下有关ImageBase(第52和60行)的信息,如果设置为与启动器/同一应用程序中的任何其他应用程序冲突,调试器将修改ImageBase。集会
64位PE
datouyu0824的博客
03-20 941
PE64(x64) 注意事项 64位PE文件被称为PE32+,PE+, PE64 解析x64位PE时应该注意地址大小,PE64涉及到指针时应该都是64位 PE64结构 IMAGE_DOS_HANDLE PE64的DOS头与PE32没有区别 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp;
去掉PE文件随机基址的方法
weixin_30448603的博客
07-10 1706
用010Editer打开点击下面箭头所指的NtHeader然后在上方变蓝的数据块内找到4081,然后修改为0081即可(懂得PE文件的朋友可以也可以一层一层自己找到这个字段,就是WORD IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE这个字段 ,把值1改为0即可。 未修改之前: OD加载的地址如图所示: IDA加载如图所示: 修改之后: OD加载的...
攻防世界 Windows_Reverse1
P_Bloomberg的博客
08-09 437
准备 环境:Windows10 工具:ExeinfoPE、upx、IDA、x32dbg、010Editor 开始 附件是.exe文件,使用ExeinfoPE查看文件信息 能看出来此文件被upx加了壳。 使用upx脱壳 将脱壳后的文件放入IDA静态分析 main函数: int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp+4h] [ebp-804h] BYREF char v5[102
PE文件关闭随机基址
qq_29176323的博客
04-11 405
1.使用010Editor打开exe或者dll文件 dll不建议关闭随机基址,否则多个dll可能会冲突 2. 找到下图的WORD字段 将IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE改成0即可
浅谈PE文件结构(二)
weixin_43137410的博客
06-22 296
​ 在上篇中,已对DOS头进行了详细的分析,并对NT头进行了粗略的分析,在此篇中将对NT头中的PE签名和PE文件头进行详细分析。​ PE签名字段。 字段Signature占4个字节,通常为50 45 00 00,转换为字符就是PE\0\0​ 字段信息如下,共占20个字节,WinHex的地址从0x000000C4至0x000000D7。 Macheine:标记了PE文件的架构,常见的值有0x014C(x86架构)和0x8664(x64架构),还有0x0200是Intel Itanium,该文件的Machei
PE加载重定位
caichengji1的博客
04-07 924
PE exe文件加载有时候会重定位,主要是因为 FILEHEADER中的一个字段  Characteristics     这个域描述pe文件的一些属性信息,比如是否可执行,是否是一个动态连接库等.具体定义如下: #define IMAGE_FILE_RELOCS_STRIPPED           0x0001  // 重定位信息被移除,文件必须加载先前的基地址 #defi
PE 重定位
加号减减号的博客
05-04 1315
PE 重定位简述 基址重定位表 IMAGE_BASE_RELOCATION TypeOffset 重定位地址计算 重定位过程总结 参考资料 PE 重定位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然...
PE-重定位
qq_51600802的博客
10-27 924
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
代码重定位和虚拟内存.pptx
08-09
代码重定位和虚拟内存是计算机系统中的关键概念,尤其在操作系统如Linux中发挥着重要作用。本讲解由国创中心的张雪凯于2021年8月3日提供,主要内容分为两个部分:代码重定位和虚拟内存的必要性及实现。 1. **代码重...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值