PE 重定位

最新推荐文章于 2024-06-08 14:37:27 发布
最新推荐文章于 2024-06-08 14:37:27 发布
阅读量1.3k 收藏 3
点赞数 3
分类专栏: PE文件格式相关 文章标签: PE 重定位 基址重定位表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Plus_RE/article/details/80190970
版权

PE 重定位简述

当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然而加载时却被加载到了 0xDC0000,这就是发生了重定位。

重定位不是简简单单的更改了映像基址这么简单,文件中可能存在一些硬编码地址,这些硬编码地址是和 PE 头指定的 ImageBase 相适应的。一旦发生了重定位,内存中的内存基址就不再和这些硬编码的地址相适应,运行时就会出现问题。

举个例子,PE 头中的 ImageBase 是 0x400000,而代码段中有这样一句指令 call dword ptr ds:[0x4003C0] ,它的十六进制机器码为 FF 15 C0 03 40 00 ,这里 0x4003C0 就是硬编码的地址,它是写死在磁盘的文件中的。当程序被加载到 0x400000 时,这句指令将正常工作;而当程序被加载到了 0xDC0000 时,如果没有经过重定位修复,这句指令很明显将会执行出错,而重定位之后,内存中的这句指令将变成 call dword ptr ds:[0xDC03C0] ,可以正常执行。

因此,重定位的主要工作是修复这些硬编码的地址,使之与新的映像基址相适应。然而程序中很有可能存在大量的硬编码地址,我们需要修改这些地址,首先就得找到这些地址。要找到这些地址,在装载时再进行扫描分析是不可行的,因为我们无法区分这是一个硬编码的地址还是一个普通的数据。正确的做法是在程序编译链接时把每一个硬编码地址所在位置的偏移记录下来存放到一张表中,我们把这张表叫做基址重定位表(Base Relocation Table)。

基址重定位表

基址重定位表位于 PE 文件的数据目录表中的第六项,它指向一个 IMAGE_BASE_RELOCATION 结构体数组,如下图所示:
这里写图片描述

IMAGE_BASE_RELOCATION

每一个 IMAGE_BASE_RELOCATION 结构体都描述了一个块,这个块中包含了许多的硬编码地址所在位置的偏移。结构体的定义如下:

//
// Based relocation format.
//

typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;
    DWORD   SizeOfBlock;
//  WORD    TypeOffset[1];
} IMAGE_BASE_RELOCATION;

其中 VirtualAddress 为基准地址,SizeOfBlock 为块的大小,一般情况下每一个块的基准地址都是不同的。注意到 TypeOffset[1] 是被注释掉的,它的作用是向读者指示在 VirtualAddress 以及 SizeOfBlock 后面紧接着一个 WORD 类型的数组 TypeOffset。SizeOfBlock 的大小为 VirtualAddress、SizeOfBlock 以及后面紧跟着的 TypeOffset 数组的总大小。

举个例子,下图即是某一个 IMAGE_BASE_RELOCATION 以及相应的 TypeOffset 数组的内容,基准地址为 0x1000,块大小为 0x170:
这里写图片描述

TypeOffset

TypeOffset 的类型为 WORD,即两个字节共 16 位。它由 type 以及 offset 两个字段组成,其中 type 占高 4 位,offset 占低 12 位。我们用上面的图来说明怎么获取 type 以及 offset:

TypeOffset[0] 的值为 0x3000(小端序),那么 type 值为即为 0x3000 的高四位 0x3,offset 值即为 0x3000 的低 12 位 0x000;

又如 TypeOffset[1] 的值为 0x3004(小端序),那么 type 值为即为 0x3004 的高四位 0x3,offset 值即为 0x3004 的低 12 位 0x004。

重定位地址计算

由 TypeOffset 得到的 offset 加上当前块的 VirtualAddress 得到的是硬编码地址所在位置的偏移,即:

硬编码所在位置偏移 = offset + VirtualAddress

得到这个偏移之后装载器就可以找到每一个需要重定位的硬编码地址了。然后将硬编码地址减去旧的 ImageBase,即得到硬编码地址的偏移,该偏移再加上新的 ImageBase 即可得到最终重定位之后的地址了,即:

重定位地址 = 硬编码地址 - 旧ImageBase + 新ImageBase

将得到的重定位地址覆盖原来的硬编码地址,即完成一次重定向。

重定位过程总结

  1. 程序装载器将程序装载到不同于 PE 头指定的 ImageBase 的虚拟内存中时,开始进行重定位
  2. 装载器检查 PE 头的基址重定位表(这是一个数组),得到第一个 IMAGE_BASE_RELOCATION 块
    1. 得到该块的 VirtualAddress (基准地址)以及 TypeOffset 数组,并得到第一个 TypeOffset
      1. 由 TypeOffset 得到 offset
      2. 由 offset + VirtualAddress 得到硬编码地址所在位置的偏移,记为 RVA1
      3. 由 RVA1 跟踪得到需要被重定位的硬编码地址(这是一个 VA,绝对地址)
      4. 硬编码地址 - 旧的 ImageBase 得到硬编码地址的偏移,记为 RVA2
      5. RVA2 + 新的 ImageBase 得到重定位之后的地址并覆盖硬编码地址
    2. 继续检查该块剩余的 TypeOffset 直到到达 SizeOfBlock 大小
  3. 继续检查剩余的 IMAGE_BASE_RELOCATION 块,直到遇到全为空的块

参考资料

《逆向工程核心原理》第 16 章 基址重定位表

加号减减号
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
重定位详解
For Geek
05-10 3872
重定位对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位作为一个单独的区块放到区块中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
PE文件详解八:IMAGE_BASE_RELOCATION STRUC基址重定
weixin_34417200的博客
01-11 235
什么是基址重定位?答:重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址重定位但凡涉及到直接寻址的指令都需要进行重定位处理! IMAGE_BASE_RELOCATION STRUC 【基址重定位位于数据目录的第六项,共8+N字节】 { +00 h DWORD VirtualAddress ;重定位数据开始的RVA...
第十六、十七章 基址重定位
最新发布
qq_45850212的博客
06-08 193
每个模块都会默认加载到PE头的Image Base的虚拟地址处,如果多个模块的默认基址相同,那么会发生冲突。假设一个模块内部的汇编指令引用了一个“绝对地址”(虚拟地址VA),这条汇编指令正确引用数据当且仅当这个模块按照Image Base加载进内存。但是由于冲突的存在,我们需要修改这条指令所引用的数据的虚拟地址,这就是基址重定位
PE重定位
不会写代码的丝丽
04-10 1108
前言 首先看一个问题,假设我们的某个EXE/DLL首选加载地址是0x10000,但实际由于随机基质等原因实际加载地址与首选地址产生的偏移。 我们首先看一个exe的静态反编译结果 我们看到00411E98这个地址的反汇编指令是MOV EAX,[41A014H] 我们再看看动态加载这个EXE后的结果 这个你可以明显看到这个指令变成了eax dword ptr[09FA014h],这个读取地址从41A014H到09FA014h变化。这就是因为基地址实际装载有变化因此需要对于实际地址的命令做出改变。 为了解
PE文件详解(八)
Masimaro的专栏
03-22 337
本文转载自小甲鱼PE文件详解系列教程原文传送门 当应用程序需要调用DLL中的函数时,会由系统将DLL中的函数映射到程序的虚拟内存中,dll中本身没有自己的栈,它是借用的应用程序的栈,这样当dll中出现类似于mov eax, [1000000]这样直接寻址的代码时,由于事先并不知道它会被映射到应用程序中的哪个位置,并且可能这个内存地址已经被使用,所以当调用dll中的函数时,系统会进行一个基址重定位
CSS中position中的各个属性
weixin_44139167的博客
09-11 600
static:position中默认元素,没有定位,出现在正常的流中。 relative:相对定位,可以利用left,right,top,bottom来给元素定位,所以变成相对定位。 absolute:绝对定位,是相对于除了static以外的第一个父元素进行定位,使用left right top bottom定位。 fixed:也是绝对定位,但是和absolute的绝对地位不一样,fixed相对于...
PE重定位练习
10-07
PE重定位是一项关键的进程加载技术,它涉及到在内存中正确放置代码和数据,以便程序能正常运行。当我们谈论"PE重定位练习"时,这通常是指通过实践来学习如何理解和处理PE文件的内存布局调整。 PE文件由多个部分组成...
PE结构中重定位的分析.rar
01-10
PE文件结构包含了众多的组件和元数据,其中“重定位”(Relocation Table)是关键部分之一,它在程序加载到内存时起着至关重要的作用。这个压缩包文件“PE结构中重定位的分析.rar”似乎提供了关于这个主题的深入...
pe 文件编程:清除文件头中的重定位.rar_pe_清楚重定位
09-21
当我们谈论“清除文件头中的重定位”,这通常是指对PE文件进行修改,移除或禁用重定位信息,以便在某些特定场景下优化或调整文件的行为。 首先,我们需要理解PE文件结构。PE文件由多个段组成,包括代码段、数据段...
PE文件重定位信息编辑工具 v1.0 绿色免费版.zip
03-25
PE文件重定位信息编辑工具是一款编程工具类软件,有了它以后,用户在编辑PE文件时就不需要每次都去查看重定位的内容了,非常的方便和实用,喜爱的朋友赶快下载体验吧! 官方介绍 PE文件重定位信息编辑工具是一款...
重定位1
08-03
重定位PE(Portable Executable)文件格式中一个关键的数据结构,它在调试版本、动态链接库以及使用了/FIXED:NO链接选项的发布版程序中起着至关重要的作用。PE文件是Windows操作系统上执行程序和库的标准格式。...
重定位
cbbc_curry的博客
02-09 1400
前言: 一个程序分成代码段,只读数据段,可读可写数据段,BSS段。 代码段:就是程序本身,不会被修改 只读数据段:放在ROM上,不需要复制到RAM 可读可写数据段:有初始值的全局变量,静态变量,需要从ROM复制到RAM BSS或者ZI段:未初始化的全局变量或静态变量在使用前清零即可 Tips:局部变量保存在栈中,堆用malloc分配 重定位 保存在ROM上的全局变量的值,如果想使用,需要先复制到RAM,这个过程就是重定位 1. 重定位怎么做 谁来做重定位 既然想使用变量和
vc++关于64位PE环境下系统system目录重定向问题
sunjilonggood的博客
09-28 1199
最近在做项目的时候遇到了一个头疼的问题,因为程序要在64位的PE环境下运行,但是我们的程序是32位的程序,那么问题就来了,因为我要使用diskpart来操作磁盘,于是我就用system("diskpart  /s script.txt"),结果屏幕一闪而过,发现脚本里的内容并没有执行,我擦嘞,这啥情况,于是我换ShellExecute/ShellExecuteEx,WinExec,CreatePr
【转】地址重定位:静态重定位和动态重定位
热门推荐
辉仔 の专栏
05-03 1万+
地址重定位就是操作系统将逻辑地址转变为物理地址的过程。。。也就是对目标程序中的指令和数据进行修改的过程 将逻辑地址空间重定位到物理地址空间的时机有三种:   1、程序编译连接时。   2、程序装入内存时。   3、程序执行时。 以下内容转自:http://bbs.pediy.com/showthread.php?t=76876   在这之前我一直对地
基址重定位
Mi1k7ea
06-09 1848
基址重定位(Base Relocation Table),记录PE重定位时需要修改的硬编码地址的位置。一般地,向进程的虚拟内存加载PE文件(EXE、DLL、SYS)时,文件会被加载到PE头的ImageBase所指的地址处。若加载的文件为DLL或SYS,且ImageBase位置加载了其他DLL或SYS文件时,则会进行PE重定位PE重定位是指PE文件无法加载到ImageBase所指位置时,而加载到...
重定位结构解析
ChuMeng1999的博客
10-24 790
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节头解析以及RVA与文件偏移地址的转换》。 本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。 实验目的 1)了解重定位的原理; 2)了解PE文件的重定位结构
C语言高级用法---typeof( ((type *)0)->member )和offset_of()
终身学习的程序猿
06-03 7073
ANSI C标准允许值为0的常量被强制转换成任何一种类型的指针,并且转换的结果是个NULL,因此((type *)0)的结果就是一个类型为type *的NULL指针. 如果利用这个NULL指针来访问type的成员当然是非法的,但typeof( ((type *)0)->member )是想取该成员的类型,所有编译器不会生成访问type成员的代码,类似的代码&( ((type *)0)...
typeof、offsetof、container_of
mrliucsdn的博客
03-27 267
是内核最经典的数据结构之一,说到链就不得不提及内核最经典(没有之一)的宏container_of。 container_of似乎就是为链而生的,它的主要作用是根据一个结构体变量中的一个域成员变量的指针来获取指向整个结构体变量的指针,最典型的应用就是根据链节点获取链上的元素对象。 container_of的宏定义如下: #define container
PE格式详细讲解10 - 系统篇10|解密系列
weixin_34009794的博客
07-05 150
PE格式详细讲解10 -系统篇10 让编程改变世界 Change the world by program 今天有一个朋友发短消息问我说“老师,为什么PE的格式要讲的这么这么细,这可不是一般的细哦”。 其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做。 主要原因是因为PE结构非常重要,再说做这个课件的确是很费神的事哈。 在这里再次...
Windows PE文件格式详解
加载PE文件时,操作系统会根据PE头的信息进行解析和重定位,将代码和数据映射到进程的虚拟地址空间。这使得程序可以在不同的地址空间中运行,而无需修改代码。例如,当程序调用C库函数时,这个调用信息就存储在导入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值