基址重定位表

最新推荐文章于 2022-11-02 23:08:44 发布
最新推荐文章于 2022-11-02 23:08:44 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: 逆向 文章标签: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SKI_12/article/details/80636568
版权
基址重定位表在PE文件加载到内存时起关键作用,处理因加载地址变化引起的硬编码地址问题。当PE文件不能加载到ImageBase指定地址时,通过查找并更新硬编码地址实现重定位。本文详细介绍了PE重定位的基本原理,基址重定位表的结构和分析方法,以Win7 notepad.exe为例展示了重定位过程。
摘要由CSDN通过智能技术生成

基址重定位表(Base Relocation Table),记录PE重定位时需要修改的硬编码地址的位置。

一般地,向进程的虚拟内存加载PE文件(EXE、DLL、SYS)时,文件会被加载到PE头的ImageBase所指的地址处。若加载的文件为DLL或SYS,且ImageBase位置加载了其他DLL或SYS文件时,则会进行PE重定位。

PE重定位是指PE文件无法加载到ImageBase所指位置时,而加载到其他地址所发生的一系列的处理行为。

因为在进程创建好之后,EXE文件会首先加载到内存中,因而EXE无须考虑重定位的问题。Windows Vista之后的版本引入ASLR机制,每次运行PE文件都会被加载到随机地址。

系统的DLL实际不会发生重定位,因为同一系统的kernel32.dll、user32.dll等会被加载到自身固有的ImageBase。

下面以Win7的notepad.exe程序为例,先使用PEView打开该程序查看ImageBase的值为01000000,再使用Ollydbg打开该程序查看。



可以看到,在EP代码中,方框中的地址是以硬编码的形式存在的。其中地址5810FC和581100是.text节区的IAT区域,地址58C0A4为.data节区的全局变量。每当在Ollydbg中重启notepad.exe程序,地址值就会随加载地址

最低0.47元/天 解锁文章
Mi1k7ea
关注
专栏目录
基于基址重定位的快速域名压缩算法
05-06
为了提高压缩速率,从DNS数据特征方面对域名压缩的原理进行了剖析,并在此基础上结合重定位技术,提出一种新的域名压缩算法.新的设计改变了传统的DNS数据处理流程,通过压缩前置,降低了应答的实时消耗.实验结果明...
重定位 (1)
richard1230的博客
10-09 1359
1.重定位的需求: 在生成程序的时候,很多涉及到地址的代码,都使用一个绝对的虚拟内存地址(这个虚拟内存地址是假设程序加载到0x400000的地方时才能够使用的),但是当程序的加载基址产生变化的时候,新的加载基址和默认的加载基址就不一样了,那些涉及到地址的代码就不能运行了,此时就需要将那些涉及到地址的代码,把他们的操作数修改(去掉默认加载基址,再加上新的加载基址)才能够使程序运行起来. 2.产生重定...
PE文件学习笔记(四):重定位(Relocation Table)解析
Apollon_krj的博客
08-18 1万+
1、重定位的作用重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
PE结构&基址重定位
寻梦&之璐
02-03 8115
重定位定位 重定位为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中, 重定位所在地址RVA=0x1F000 重定位数据大小=39C RVA转FOA后可以得到文件偏移地址为0x9800 重定位项IMAGE_BASE_RELOCATION 与导入类似,重定位指针指向的位置就是一个数组,而不像导出一样只有一个结构,这个数组的每一项都是如下结构: IMAGE_BASE_RELOCATION STRUCT VirtualAddress dd ? ;重定位内存页的起始RV
从可执行文件中删除.reloc字节
weixin_43939527的博客
03-12 741
1、.reloc节区 EXE形式的PE文件中,“基址重定位”项对运行没什么影响,将其删除后程序仍能正常运行(基址重定位对DLL/SYS形式的文件来说几乎是必需的)。 基址重定位: 在PE文件中,基址重定位一般放在一个单独的 “.reloc” 区,可以通过IMAGE_OPTIONAL_HEADER 中 的DataDirectory[5] 查看基址重定位 的RVA。 在PEview中查看no...
PE导出重定位详解
93Storm
12-31 2474
此文档主要讲解导出重定位信息: 使用例子为: Windows.UI.Xaml.dll、010editor 1、导出重定位的地址存放在哪里 DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录 数据目录中的内容: structIMAGE_DATA_DIRECTORY  Export
DLL重定位资源修改
07-14
当DLL的基址改变时,重定位会被用来修正DLL内部的相对地址,确保函数调用、数据访问等能正常工作。 "Rebaser.exe"这个文件很可能是用于手动或自动化调整DLL基址的工具。它允许用户指定DLL的新基址,然后修改DLL的...
远程代码/进程注入和重定位
04-08
在C++中,这通常涉及对重定位的处理,需要精确地理解PE(Portable Executable)文件格式,以便正确地更新节区头部和导出/导入。 文件"Remote-Code-Process-Injection-and-Relocation.pdf"很可能详细介绍了这些...
存储空间与重定位、分区分页技术
04-12
### 存储空间与重定位、分区分页技术 #### 一、存储空间与存储器管理 **存储空间**指的是计算机系统中用于存放程序和数据的空间。存储空间根据其是否可以直接被CPU访问,通常分为内存(主存)和外存(辅存)。内存...
重定位的添加/编辑/删除工具
05-14
自己写的用于重定位的添加/编辑/删除工具
MASM32开发包及重定位总结
03-19
**MASM32开发包及重定位总结** MASM32开发包是针对Windows平台的汇编语言开发工具集,它包含了一套完整的汇编、链接、调试等工具,为Win32汇编编程提供了便利。这个开发包的核心组件是MASM(Microsoft Macro ...
PE-64位-重定位-读取解析-保存修改-代码
插件开发
03-14 1813
重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。一个简单程序test.exe需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。
【逆向】【PE入门】使用PEView分析PE文件
热门推荐
lanlanla的成长历程
01-08 1万+
目录 什么是PE? 什么是PEView? 分析PE文件 什么是DOS头? IMAGE_DOS_HEADER是干嘛的? DOS块是干嘛的? 什么是NT头? Signatrue? IMAGE_FILE_HEADER? IMAGE_OPTIONAL_HEADER? section头? 1.找到 NT 头的起始偏移地址、结束地址? 什么是PE? 参考博客:htt...
说说编译链接系统中的符号(symbol)、重定位(relocation)、字串(string-table)和节(section)
Liigo's blog
11-23 1万+
作者:liigo日期:2009/11链接:http://blog.csdn.net/liigo/archive/2009/11/23/4858535.aspx转载请注明出处:http://blog.csdn.net/liigo  编译(compile)和链接(link),是计算机编程语言的通用处理系统。编译,是把程序源代码转换为目标文件;链接,是把目标文件转换为可执行文
PE文件格式学习(八):基址重定位
11-08 277
1.简介 基址重定位位于数据目录中的第六个,它位于安全的后面。 这个的作用是用来索引那些需要重定位的数据的。当系统发现DLL的真实加载基址跟PE文件中的ImageBase中的值不一样时,就会启用基址重定位修复一些数据的地址。我们知道一个程序中可能包含多个DLL,因此有可能多个DLL之间的ImageBase是重合的,一旦某个加载基址被占用了,系统就会随机分配一个基址给将要加载的D...
重定位介绍
只为改变自己
05-04 1637
PE重定位介绍
PE文件解析(5):重定位详解
ylh的博客
11-02 1636
1、重定位的作用 重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位的大小可以定位可以确定这个中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位不止
PE-重定位
qq_51600802的博客
10-27 949
按照上述思路,可写代码打印重定位的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
页氏地址重定位操作系统
最新发布
05-13
页式地址重定位操作系统是一种常见的内存管理技术,通常用于将虚拟内存地址转换为物理内存地址。在这种系统中,内存被划分为大小相等的页框,而程序使用的内存也被划分为相同大小的页面。每个页面都有一个唯一的页号...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值