PE重定位表

最新推荐文章于 2022-09-25 15:49:23 发布
最新推荐文章于 2022-09-25 15:49:23 发布
阅读量372 收藏 1
点赞数 1
分类专栏: 安全 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91405799
版权
安全 同时被 2 个专栏收录
60 篇文章 2 订阅
订阅专栏
PE
26 篇文章 0 订阅
订阅专栏

 

重定位表解决Pe文件实际加载基址与PE文件中所指定的加载基址不同时带来的问题。

 

保存有待修正数据的地址

 

 

 

EXE文件不存在重定位表:对于EXE文件来说,每个文件总是使用独立的虚拟地址空间,所以EXE总是能够按照这个地址装入,这意味着EXE 文件不再需要重定位信息。

  DLL文件需要重定位表:对于DLL文件来说,由于多个DLL文件全部使用宿主EXE文件的地址空间,不能保证装入地址没有被其他DLL使用, 所以DLL文件必须包含重定位表。

 

 

 

重定位表的结构

 

重定位算法——将直接寻址指令中的双字地址加上模块实际装入地址与模块建议装入地址之差。

重定位表的位置 ——重定位表一般会被单独存放在一个可丢弃的以“.reloc”命名的节中 。

重定位表的位置和大小可以从数据目录中的第6个IMAGE_DATA_DIRECTORY结构中获取 。

 

重定位表组织——采用按页分割的方法。重定位表以页(4K)为单位存储。

 

一个重定位项对应的实际需要修复的地址是:

 

装入地址(预期加载基址)+页地址+页内偏移

 

实际加载基址—预期加载基址得到一个差值

 

需要修复的地址+差值=修复后的地址

 

重定位块,每一块用来描述一个内存页中的所有重定位项。

重定位块数据结构

IMAGE_BASE_RELOCATION STRUCT

VirtualAddress dd     ?    ;重定位内存页的起始RVA

SizeOfBlock dd     ?    ;重定位块的长度

IMAGE_BASE_RELOCATION ENDS 

IMAGE_BASE_RELOCATION结构后面跟着的n个字就是重定位项 

 

【基址重定位项】被包装为一系列连续区段,每一个区段来描述一个4K PAGE(也就是一页)的重定位信息,长短不一(每页中需要重定位的指令数目也不一样),它们以一个IMAGE_BASE_RELOCATION结构作为开始

 

 

 

 

跃然实验室
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构】重定位
SMOne
06-30 1746
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 八、资源 九、重定位 1.概念 重定位 存的是PE文件中需要修改(变量数据)的地址的位置。 全局变量和局部静态变量在PE文件数据段中。 程序代码在寻址这些变量时,用的不是偏移RVA,而是直接地址VA。 2.使用规则 我们知道VA=基址+RVA,而基址默认是...
PE 重定位
加号减减号的博客
05-04 1316
PE 重定位简述 基址重定位 IMAGE_BASE_RELOCATION TypeOffset 重定位地址计算 重定位过程总结 参考资料 PE 重定位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然...
PE_重定位
最新发布
qq_42363151的博客
09-25 132
PE
PE文件(3)重定位
nyzdmc的博客
03-02 492
PE文件(3)重定位 重定位概念 程序编译时每个模块有一个优先加载地址ImageBase,这个值是链接器给出的,因此链接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,那么一旦程序没有将模块加载到ImageBase时,那么程序中的指令地址就需要重新定位,从而需要重定位的修正。   对于EXE应用程序来说,在自己独立的4G进程空间中,它是肯定加载到ImageBa...
PE结构中重定位的分析.rar
01-10
PE文件结构包含了众多的组件和元数据,其中“重定位”(Relocation Table)是关键部分之一,它在程序加载到内存时起着至关重要的作用。这个压缩包文件“PE结构中重定位的分析.rar”似乎提供了关于这个主题的深入...
PE重定位练习
10-07
PE重定位是一项关键的进程加载技术,它涉及到在内存中正确放置代码和数据,以便程序能正常运行。当我们谈论"PE重定位练习"时,这通常是指通过实践来学习如何理解和处理PE文件的内存布局调整。 PE文件由多个部分组成...
pe 文件编程:清除文件头中的重定位.rar_pe_清楚重定位
09-21
PE文件中,重定位是一个关键组成部分,它用于记录文件在内存加载时可能需要调整的地址信息。当我们谈论“清除文件头中的重定位”,这通常是指对PE文件进行修改,移除或禁用重定位信息,以便在某些特定场景下...
重定位1
08-03
重定位PE(Portable Executable)文件格式中一个关键的数据结构,它在调试版本、动态链接库以及使用了/FIXED:NO链接选项的发布版程序中起着至关重要的作用。PE文件是Windows操作系统上执行程序和库的标准格式。...
PE获取导出 导入 资源 重定位
11-30
DLL封装函数PE结构的操作 win32 控制台程序调用并显示 函数原型 typedef PIMAGE_SECTION_HEADER (*GetSectionHead) (PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_IMPORT_DESCRIPTOR (*GetImportHead) (LPVOID iBase,...
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
pe重定位及修正
一叶知秋
02-25 1095
#include "stdafx.h" #include <windows.h>   #include <iostream>      class MemBlock {   public:       MemBlock() : m_buff(NULL) {}          bool alloc(size_t size) {           m_buff = Vi...
PE文件重定位
lookerson的专栏
09-12 4249
PE格式是Windows环境下可执行文件(如:exe,dll)的格式,而Windows下面的程序,例如动态链接库无法加载到它本身期望加载的地址的时候,便会发生重定位。那么,重定位是如何实现的呢?   一.PE文件格式的结构 PE文件主要是由PE头和PE体组成的,其中,PE头主要由DOS头, DOS存根,NT头:签名,NT头:文件头,NT头:可选头,节头组成, 而剩下的各节区组成PE体。其
PE文件重定位概念学习
bcbobo21cn的专栏
03-21 329
PE文件基址重定位,Base Relocation。 程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的;因此连接器生成的指令中的地址是在假设模块被 加载到ImageBase前提之下生成的; 那么一旦程序没有将模块加载到ImageBase时,那么程序中 的指令地址就需要重新定位。 这是重定位的基本概念。 基址重定位项,加载器就是利用它来知道模块是否按预期的 位置加载,哪些指令是需要修改的。 加载器也是通过数据目录来定位【基址重定位项】,【基址重定位项】被包装 为一系列连续区段,每
PE文件结构(五)基址重定位
billvsme的专栏
10-07 6696
参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 基址重定位 链接器生成一个PE文件时,它会假设程序被装入时使用的默认ImageBase基地址(VC默认exe基地址00400000h,dll基地址10000000h),并且会把代码中所有指令中用到的地址都使用默认的基地址(例如 程序代码中 push 10001000,就是把10000000h当做了基地址,把push 10001000写入到文件中)。如果一个exe程序中一个dll装载时的地址与其它dll地址发生冲突(因为windo
PE文件解析--重定位
qq_31125257的博客
12-22 491
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
PE结构之重定位
weixin_30462049的博客
11-13 162
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
Windows PE文件格式详解
6. 重定位:当文件被加载到不同地址时,用于修正代码和数据的相对地址。 7. 资源:包含位图、图标、字符串等资源。 8. 异常处理:提供了异常处理的元数据。 9. 线程局部存储(TLS)目录:用于线程相关的初始化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值