【PE结构】重定位表

最新推荐文章于 2024-04-10 21:07:01 发布
最新推荐文章于 2024-04-10 21:07:01 发布
阅读量1.7k 收藏 7
点赞数 6
分类专栏: PE文件 文章标签: PE结构 重定位表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chy_chenyang/article/details/80864627
版权

一、前言
二、PE整体结构
三、DOS头
四、NT头
五、区段头
六、导出表
七、导入表
八、资源表

九、重定位表

1.概念

重定位表 存的是PE文件中需要修改(变量数据)的地址的位置。
全局变量和局部静态变量在PE文件数据段中。
程序代码在寻址这些变量时,用的不是偏移RVA,而是直接地址VA。

2.使用规则

我们知道VA=基址+RVA,而基址默认是0x400000,实际可能会发生变化。
所以在每次加载程序时,需要先判断程序加载基址是否是0x400000,如果是,重定位表内容不需要变动,如果不是,重定位表中的地址数据=原数据-原基址+新基址。

3.表结构

重定位表也是一个结构体数组,以全零元素节为,每一个数组元素描述了一页(4KB)内的重定位信息。

typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;     // 需要重定位的区域的位置RVA
    DWORD   SizeOfBlock;        // 结构体大小,包含TypeOffset
最低0.47元/天 解锁文章
SMOne_Z
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE结构重定位的分析.rar
01-10
这个压缩包文件“PE结构重定位的分析.rar”似乎提供了关于这个主题的深入学习资料,包括一个DLL示例、PElord工具以及相关文档说明。 重定位是在PE文件中用于处理程序在不同地址运行时可能出现的问题。当...
PE文件解析--重定位
qq_31125257的博客
12-22 487
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
重定位
qq_41490873的博客
12-23 195
位于数据目录的第6个结构, 通过结构的virtualAddress可以找到在文件中的FOA。 重定位分为几个block,block的第一个4字节是块的virtualAddress第二个四字节是block的大小。 下一个块的FOA=第一个块的FOA+大小 最后一个kuai的前8字节为0结构 ...
pe格式从入门到图形化显示(九)-重定位
最新发布
Mrack的博客
04-10 823
通过分析和解析Windows PE格式,并使用qt进行图形化显示重定位是Windows PE文件格式中的一种特殊数据结构,用于在程序加载到内存时修正地址。当程序被加载到内存时,它可能不会被加载到其预期的默认地址,而是被加载到其他地址。这就需要对程序中的地址进行重定位,以确保程序能够正确地运行。总之,重定位PE文件格式中的一种关键数据结构,它用于在程序加载到内存时修正地址,确保程序能够正确地运行。
PE结构重定位
輚至消亡
09-27 467
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址被应用程序占据了或者被其它的DLL占据了,也是很正常的,这时它就不得不进行重定位了。 哪些数据需要重定位: :00401000 55...
PE文件格式中数据目录项中的重定位和模拟LoadLibrary
qq_35426012的博客
11-15 312
重定位 重定位的作用 当链接器生成一个PE文件时,会假设这个文件在执行时被装载到默认的基址处,并把code和data的相关地址都写入到PE文件中,如果加载PE文件时将默认的值作为基地址加载,则不需要重定位。如果PE文件被装载到虚拟内存的另一个地址的话,连接器记录的那个地址就是错误的,这时就需要重定位来进行调整地址VA 重定位结构定义 typedef struct _IMAGE_BAS...
写一个PE的壳_Part 4:修复对ASLR支持+lief构建新PE
可乐松子的博客
05-27 479
文章目录1.解决思路step 1:当前现状step 2:解决思路step 3:内存布局2.修改unpack部分Image BasePE Header and Section3.修改python的打包程序step 1:构建unpack部分step 2:ASLR特殊处理4.构建结果处理 Part 3中遗留了一个隐患,MinGW无法生成重定位,因此无法产生可移动的二进制文件;Part 4中要处理MinGW生成的可执行文件(不能移动的,即不支持ASLR的二进制文件)的打包问题 1.解决思路 step 1:当前
PE重定位练习
10-07
重定位PE文件的一个关键元素,它定义了在程序加载到内存时需要修正的地址。 在描述中提到的`ntdll.dll`是一个核心系统DLL,用于提供NT内核级的API函数,而`PEview.exe`则可能是一个工具,用于查看和分析PE文件...
重定位1
08-03
重定位PE(Portable Executable)文件格式中一个关键的数据结构,它在调试版本、动态链接库以及使用了/FIXED:NO链接选项的发布版程序中起着至关重要的作用。PE文件是Windows操作系统上执行程序和库的标准格式。...
PE获取导出 导入 资源 重定位
11-30
DLL封装函数PE结构的操作 win32 控制台程序调用并显示 函数原型 typedef PIMAGE_SECTION_HEADER (*GetSectionHead) (PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_IMPORT_DESCRIPTOR (*GetImportHead) (LPVOID iBase,...
PE结构查看.rar
04-05
7. **重定位**:当PE文件被加载到内存时,地址可能会发生变化,重定位用于更新代码和数据的地址。 8. **异常处理**:定义了程序如何处理异常和错误。 9. **调试信息**:对于开发和调试很有用,包含如符号...
PE-重定位
qq_51600802的博客
10-27 916
按照上述思路,可写代码打印重定位的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
PE文件解析(5):重定位详解
ylh的博客
11-02 1479
1、重定位的作用 重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位的大小可以定位可以确定这个中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位不止
PE重定位
不会写代码的丝丽
04-10 1102
前言 首先看一个问题,假设我们的某个EXE/DLL首选加载地址是0x10000,但实际由于随机基质等原因实际加载地址与首选地址产生的偏移。 我们首先看一个exe的静态反编译结果 我们看到00411E98这个地址的反汇编指令是MOV EAX,[41A014H] 我们再看看动态加载这个EXE后的结果 这个你可以明显看到这个指令变成了eax dword ptr[09FA014h],这个读取地址从41A014H到09FA014h变化。这就是因为基地址实际装载有变化因此需要对于实际地址的命令做出改变。 为了解
PE_重定位
个人笔记
04-05 316
重定位概述为什么需要重定位存在?重定位定位重定位项IMAGE_BASE_RELOCATION结构结构详解定位实例 概述 加载PE文件到虚拟内存时,EXE默认IMAGEBASE一般为400000,DLL默认IMAGEBASE一般为10000000。 一般情况下,EXE都是可以按照ImageBase的地址进行加载的.因为Exe拥有自己独立的4GB 的虚拟内存空间。 但DLL 不是 DLL是有EXE使用它,才加载到相关EXE的进程空间的。 为了提高搜索的速度,模块间(各个Dll之间)地址也是
PE结构&基址重定位
寻梦&之璐
02-03 8078
重定位定位 重定位为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中, 重定位所在地址RVA=0x1F000 重定位数据大小=39C RVA转FOA后可以得到文件偏移地址为0x9800 重定位项IMAGE_BASE_RELOCATION 与导入类似,重定位指针指向的位置就是一个数组,而不像导出一样只有一个结构,这个数组的每一项都是如下结构: IMAGE_BASE_RELOCATION STRUCT VirtualAddress dd ? ;重定位内存页的起始RV
PE知识复习之PE重定位
weixin_30515513的博客
10-04 118
          PE知识复习之PE重定位 一丶何为重定位       重定位的意思就是修正偏移的意思. 如一个地址位 0x401234 ,Imagebase = 0x400000 . 那么RVA就是 1234. 如果Imagebase 变了成了0x300000, 那么修正之后就是 ImageBase + RVA = 0X300000+1234 = 0x301234.     首先...
PE 重定位
加号减减号的博客
05-04 1306
PE 重定位简述 基址重定位 IMAGE_BASE_RELOCATION TypeOffset 重定位地址计算 重定位过程总结 参考资料 PE 重定位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然...
使用树状结构展示windows的PE结构的所有细节,并且附带中文解释和大小
06-04
好的,以下是使用树状结构展示Windows的PE结构的所有细节: PE结构 ├─DOS头(64字节) │ ├──e_magic(2字节)- DOS标识符(MZ) │ ├──e_cblp(2字节)- 最后一页字节数 │ ├──e_cp(2字节)- 文件中页数 │ ├──e_crlc(2字节)- 重定位项数 │ ├──e_cparhdr(2字节)- Header段的段字节数 │ ├──e_minalloc(2字节)- 所需的最小内存量 │ ├──e_maxalloc(2字节)- 所需的最大内存量 │ ├──e_ss(2字节)- 初始SS值 │ ├──e_sp(2字节)- 初始SP值 │ ├──e_csum(2字节)- 校验和 │ ├──e_ip(2字节)- 初始IP值 │ ├──e_cs(2字节)- 初始CS值 │ ├──e_lfarlc(2字节)- 重定位的文件偏移 │ ├──e_ovno(2字节)- Overlay编号 │ ├──e_res(4 x 4字节)- 保留字 │ ├──e_oemid(2字节)- OEM标识符 │ ├──e_oeminfo(2字节)- OEM信息 │ ├──e_res2(10 x 2字节)- 保留字 │ ├──e_lfanew(4字节)- 新的文件头偏移 │ └──(共64字节) ├─PE头(20字节) │ ├──Signature(4字节)- PE标识符(PE\0\0) │ ├──Machine(2字节)- 目标机器类型 │ ├──NumberOfSections(2字节)- 节数量 │ ├──TimeDateStamp(4字节)- 时间戳 │ ├──PointerToSymbolTable(4字节)- 符号偏移 │ ├──NumberOfSymbols(4字节)- 符号项数 │ ├──SizeOfOptionalHeader(2字节)- 可选头大小 │ ├──Characteristics(2字节)- 特征标志 │ └──(共20字节) ├─可选头(可变长度) │ ├──标准字段(24字节) │ │ ├──Magic(2字节)- 魔数 │ │ ├──MajorLinkerVersion(1字节)- 链接器主版本号 │ │ ├──MinorLinkerVersion(1字节)- 链接器次版本号 │ │ ├──SizeOfCode(4字节)- 代码段大小 │ │ ├──SizeOfInitializedData(4字节)- 已初始化数据段大小 │ │ ├──SizeOfUninitializedData(4字节)- 未初始化数据段大小 │ │ ├──AddressOfEntryPoint(4字节)- 入口点地址 │ │ ├──BaseOfCode(4字节)- 代码段基址 │ │ └──BaseOfData(4字节)- 数据段基址 │ ├──Windows特定字段(可选) │ │ ├──ImageBase(4字节或8字节)- 图像基址 │ │ ├──SectionAlignment(4字节)- 节对齐大小 │ │ ├──FileAlignment(4字节)- 文件对齐大小 │ │ ├──MajorOperatingSystemVersion(2字节)- 操作系统主版本号 │ │ ├──MinorOperatingSystemVersion(2字节)- 操作系统次版本号 │ │ ├──MajorImageVersion(2字节)- 文件主版本号 │ │ ├──MinorImageVersion(2字节)- 文件次版本号 │ │ ├──MajorSubsystemVersion(2字节)- 子系统主版本号 │ │ ├──MinorSubsystemVersion(2字节)- 子系统次版本号 │ │ ├──Win32VersionValue(4字节)- 保留字段 │ │ ├──SizeOfImage(4字节)- 加载后图像大小 │ │ ├──SizeOfHeaders(4字节)- 文件头大小 │ │ ├──CheckSum(4字节)- 校验和 │ │ ├──Subsystem(2字节)- 子系统类型 │ │ ├──DllCharacteristics(2字节)- DLL特征标志 │ │ ├──SizeOfStackReserve(4字节或8字节)- 栈保留大小 │ │ ├──SizeOfStackCommit(4字节或8字节)- 栈提交大小 │ │ ├──SizeOfHeapReserve(4字节或8字节)- 堆保留大小 │ │ ├──SizeOfHeapCommit(4字节或8字节)- 堆提交大小 │ │ ├──LoaderFlags(4字节)- 加载器标志 │ │ ├──NumberOfRvaAndSizes(4字节)- 数据目录项数 │ │ └──DataDirectory(8 x 数目)- 数据目录 │ ├──(共64字节或112字节) │ └──(可变长度) ├─节(可变长度) │ ├──节头(40字节) │ │ ├──Name(8字节)- 节名 │ │ ├──VirtualSize(4字节)- 节虚拟大小 │ │ ├──VirtualAddress(4字节)- 节虚拟地址 │ │ ├──SizeOfRawData(4字节)- 节大小 │ │ ├──PointerToRawData(4字节)- 节在文件中的偏移 │ │ ├──PointerToRelocations(4字节)- 重定位偏移 │ │ ├──PointerToLinenumbers(4字节)- 行号偏移 │ │ ├──NumberOfRelocations(2字节)- 重定位项数 │ │ ├──NumberOfLinenumbers(2字节)- 行号项数 │ │ ├──Characteristics(4字节)- 特征标志 │ │ └──(共40字节) │ ├──节数据(可变长度) │ ├──(共节数量 x 40字节 + 节大小之和) │ └──(可变长度) └──(PE头大小 + 节大小之和) 以上是PE结构的详细展示,中文解释已经附带在每个字段后面,同时也包括了每个字段的大小。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值