基址重定位表

最新推荐文章于 2022-03-14 10:03:49 发布
最新推荐文章于 2022-03-14 10:03:49 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: 逆向 文章标签: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SKI_12/article/details/80636568
版权
基址重定位表在PE文件加载到内存时起关键作用,处理因加载地址变化引起的硬编码地址问题。当PE文件不能加载到ImageBase指定地址时,通过查找并更新硬编码地址实现重定位。本文详细介绍了PE重定位的基本原理,基址重定位表的结构和分析方法,以Win7 notepad.exe为例展示了重定位过程。
摘要由CSDN通过智能技术生成

基址重定位表(Base Relocation Table),记录PE重定位时需要修改的硬编码地址的位置。

一般地,向进程的虚拟内存加载PE文件(EXE、DLL、SYS)时,文件会被加载到PE头的ImageBase所指的地址处。若加载的文件为DLL或SYS,且ImageBase位置加载了其他DLL或SYS文件时,则会进行PE重定位。

PE重定位是指PE文件无法加载到ImageBase所指位置时,而加载到其他地址所发生的一系列的处理行为。

因为在进程创建好之后,EXE文件会首先加载到内存中,因而EXE无须考虑重定位的问题。Windows Vista之后的版本引入ASLR机制,每次运行PE文件都会被加载到随机地址。

系统的DLL实际不会发生重定位,因为同一系统的kernel32.dll、user32.dll等会被加载到自身固有的ImageBase。

下面以Win7的notepad.exe程序为例,先使用PEView打开该程序查看ImageBase的值为01000000,再使用Ollydbg打开该程序查看。



可以看到,在EP代码中,方框中的地址是以硬编码的形式存在的。其中地址5810FC和581100是.text节区的IAT区域,地址58C0A4为.data节区的全局变量。每当在Ollydbg中重启notepad.exe程序,地址值就会随加载地址

最低0.47元/天 解锁文章
Mi1k7ea
关注
专栏目录
基于基址重定位的快速域名压缩算法
05-06
为了提高压缩速率,从DNS数据特征方面对域名压缩的原理进行了剖析,并在此基础上结合重定位技术,提出一种新的域名压缩算法.新的设计改变了传统的DNS数据处理流程,通过压缩前置,降低了应答的实时消耗.实验结果明...
PE结构&基址重定位
寻梦&之璐
02-03 8111
重定位定位 重定位为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中, 重定位所在地址RVA=0x1F000 重定位数据大小=39C RVA转FOA后可以得到文件偏移地址为0x9800 重定位项IMAGE_BASE_RELOCATION 与导入类似,重定位指针指向的位置就是一个数组,而不像导出一样只有一个结构,这个数组的每一项都是如下结构: IMAGE_BASE_RELOCATION STRUCT VirtualAddress dd ? ;重定位内存页的起始RV
PE文件学习笔记(四):重定位(Relocation Table)解析
Apollon_krj的博客
08-18 1万+
1、重定位的作用重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
从可执行文件中删除.reloc字节
weixin_43939527的博客
03-12 728
1、.reloc节区 EXE形式的PE文件中,“基址重定位”项对运行没什么影响,将其删除后程序仍能正常运行(基址重定位对DLL/SYS形式的文件来说几乎是必需的)。 基址重定位: 在PE文件中,基址重定位一般放在一个单独的 “.reloc” 区,可以通过IMAGE_OPTIONAL_HEADER 中 的DataDirectory[5] 查看基址重定位 的RVA。 在PEview中查看no...
PE-64位-重定位-读取解析-保存修改-代码
插件开发
03-14 1802
重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。一个简单程序test.exe需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。
DLL重定位资源修改
07-14
当DLL的基址改变时,重定位会被用来修正DLL内部的相对地址,确保函数调用、数据访问等能正常工作。 "Rebaser.exe"这个文件很可能是用于手动或自动化调整DLL基址的工具。它允许用户指定DLL的新基址,然后修改DLL的...
远程代码/进程注入和重定位
04-08
在C++中,这通常涉及对重定位的处理,需要精确地理解PE(Portable Executable)文件格式,以便正确地更新节区头部和导出/导入。 文件"Remote-Code-Process-Injection-and-Relocation.pdf"很可能详细介绍了这些...
存储空间与重定位、分区分页技术
04-12
### 存储空间与重定位、分区分页技术 #### 一、存储空间与存储器管理 **存储空间**指的是计算机系统中用于存放程序和数据的空间。存储空间根据其是否可以直接被CPU访问,通常分为内存(主存)和外存(辅存)。内存...
MASM32开发包及重定位总结
03-19
**MASM32开发包及重定位总结** MASM32开发包是针对Windows平台的汇编语言开发工具集,它包含了一套完整的汇编、链接、调试等工具,为Win32汇编编程提供了便利。这个开发包的核心组件是MASM(Microsoft Macro ...
重定位的添加/编辑/删除工具
05-14
自己写的用于重定位的添加/编辑/删除工具
PE导出重定位详解
93Storm
12-31 2468
此文档主要讲解导出重定位信息: 使用例子为: Windows.UI.Xaml.dll、010editor 1、导出重定位的地址存放在哪里 DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录 数据目录中的内容: structIMAGE_DATA_DIRECTORY  Export
说说编译链接系统中的符号(symbol)、重定位(relocation)、字串(string-table)和节(section)
Liigo's blog
11-23 1万+
作者:liigo日期:2009/11链接:http://blog.csdn.net/liigo/archive/2009/11/23/4858535.aspx转载请注明出处:http://blog.csdn.net/liigo  编译(compile)和链接(link),是计算机编程语言的通用处理系统。编译,是把程序源代码转换为目标文件;链接,是把目标文件转换为可执行文
【逆向】【PE入门】使用PEView分析PE文件
热门推荐
lanlanla的成长历程
01-08 1万+
目录 什么是PE? 什么是PEView? 分析PE文件 什么是DOS头? IMAGE_DOS_HEADER是干嘛的? DOS块是干嘛的? 什么是NT头? Signatrue? IMAGE_FILE_HEADER? IMAGE_OPTIONAL_HEADER? section头? 1.找到 NT 头的起始偏移地址、结束地址? 什么是PE? 参考博客:htt...
PE文件格式学习(八):基址重定位
11-08 274
1.简介 基址重定位位于数据目录中的第六个,它位于安全的后面。 这个的作用是用来索引那些需要重定位的数据的。当系统发现DLL的真实加载基址跟PE文件中的ImageBase中的值不一样时,就会启用基址重定位修复一些数据的地址。我们知道一个程序中可能包含多个DLL,因此有可能多个DLL之间的ImageBase是重合的,一旦某个加载基址被占用了,系统就会随机分配一个基址给将要加载的D...
如何删除基址重定位----记一次对RAR软件的基址重定位删除实践
12-29 312
工具: 1.PETool 2.HxD 步骤: 1.PE查看rar程序的结构: 重定位的具体信息如下: 2.删除.reloc的节区头 从地址278开始,删除到29c+3 这部分清零。 3.删除.reloc节区 ...
Windows:PE格式之基址重定位
无名J0kзr的博客
03-26 777
文章目录杂什么是基址重定位为什么需要基址重定位如何进行基址重定位重定位的数据结构实例 杂 参考: 基址重定位的作用及详细解析 小甲鱼PE详解之基址重定位详解 PE文件结构(五)基址重定位 《程序员的自我修养:链接、装载与库》 什么是基址重定位 重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程,也就是说在装入时对目标程序中指令和数据的修改过程。他是实现多道程序在内存中同时运行的基础。 为什么需要基址重定位 每个PE文件都有一个首选基地址,它示模块被映射到进程地址空间时最佳的装载位置。 而
PE文件格式学习(八):基址重定位(BaseRelocationTable)
tutucoo
11-07 1481
1.简介 基址重定位位于数据目录中的第六个,它位于安全的后面。 这个的作用是用来索引那些需要重定位的数据的。当系统发现DLL的真实加载基址跟PE文件中的ImageBase中的值不一样时,就会启用基址重定位修复一些数据的地址。我们知道一个程序中可能包含多个DLL,因此有可能多个DLL之间的ImageBase是重合的,一旦某个加载基址被占用了,系统就会随机分配一个基址给将要加载的DLL,比如...
页氏地址重定位操作系统
最新发布
05-13
页式地址重定位操作系统是一种常见的内存管理技术,通常用于将虚拟内存地址转换为物理内存地址。在这种系统中,内存被划分为大小相等的页框,而程序使用的内存也被划分为相同大小的页面。每个页面都有一个唯一的页号,而每个页号都映射到一个特定的页框。 当程序引用一个虚拟地址时,操作系统将虚拟地址分解为页号和页内偏移量,并将页号映射到相应的页框。然后,操作系统将页内偏移量添加到页框的物理地址中,从而获得物理地址。 但是,当操作系统将进程从一个物理地址空间移动到另一个物理地址空间时,所有的虚拟地址都必须被重新映射到新的物理地址。这个过程就被称为页重定位。 在页式地址重定位系统中,页存储在主存储器中,并通过页寄存器来访问。当一个程序引用一个虚拟地址时,处理器将虚拟地址中的页号发送到页寄存器,并获取与该页号相关联的页项。页项包括该页号所映射的物理页框号。然后,处理器将物理页框号与虚拟地址中的页内偏移量组合,从而计算出物理地址。 当操作系统需要将一个进程从一个地址空间移动到另一个地址空间时,页必须被更新,以便将旧的物理页框号映射到新的物理页框号。这个过程通常涉及到页基址寄存器和页长度寄存器的更新,以及所有虚拟地址的重新映射。 总之,页式地址重定位操作系统是一个基于分页内存管理的系统,它通过将虚拟地址映射到物理地址来管理内存。在这个系统中,页被用来存储虚拟页号和物理页框号之间的映射关系,并且在地址空间移动时需要进行重定位操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值