PE文件解析(5):重定位表详解

最新推荐文章于 2023-09-09 13:59:16 发布
最新推荐文章于 2023-09-09 13:59:16 发布
阅读量1.5k 收藏 11
点赞数 3
分类专栏: 逆向 文章标签: PE 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jj6666djdbbd/article/details/127660348
版权

文章目录

重定位表

1、重定位表的作用
重定位表(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。
并不是所有的exe程序都有重定位表,但是DLL却是必须需要重定位信息。
在这里插入图片描述

每一个重定位表(每一块颜色区域),包括virtualaddress和size和每个表所含的偏移数据值
在这里插入图片描述

重定位表的结构体解析

重定位表通过IMAGE_BASE_RELOCATION的结构体。

typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;
    DWORD   SizeOfBlock;
//  WORD    TypeOffset[1];
} IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

重要字段

  • VirtualAddress: 重定位表记录的每个偏移数据的基址
  • SizeOfBlock: 重定位表的大小(VirtualAddress + SizeOfBlock + 各偏移的总大小)

通过重定位表的大小可以定位可以确定这个表中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。

注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。

寻找重定位表

  1. 数据目录表中记录重定位表的偏移地址是 0x1F000h
    在这里插入图片描述
  2. 在区段表中寻找: 0x1F000的合适位置,可以得到区段表的索引为8的区段的偏移地址为 0x1F000h,就是重定位表的RVA,所以 利用公式: 数据FOA= 数据RVA - 区段 RVA + 区段FOA,可以得到: 1F000 - 1F000 + 9200h(FOA) 可以得到 重定位表的FOA: 0x9200。
    在这里插入图片描述
  3. 可以找到 0x9200的偏移地址,再加上基址可以得到重定位表的地址,在 010editor可以直接看到此地址:前四个字节为DWORD型的virtual
    在这里插入图片描述
    可以看到:
  • virtualaddress: 011000h
  • size: 68h 重定位表的大小:68h个字节
  • 总大小减去 8字节(virtualaddress和size自身的大小),得到60h即是重定位表中偏移数据的大小,偏移数据占据WORD型两个字节,因此除以2可以得到这张重定位表中偏移数据的总个数: 0x30个
  • 如何得到偏移数据的真正地址? 我们可以看到紧跟之后的数据为 0x3698 0x32E8, 但他们都只是偏移,表面上我们还需要加上virtualaddress,才是这个数据真正的地址.
  • 但是要记住这个2字节数据占据16位,其中高4位为一个标记,低12位才是数据的真正的值。即:0x3698按位与 0x0FFF 才得到低12位的数据然后再加上virtualaddress的基址即得到:0x11698,所以这个值就是我们重定位表存储的真正的偏移值。

代码解析重定位表


void cPE::GetRelocation()
{
	//获取重定位表的偏移地址	
	IMAGE_DATA_DIRECTORY RelocationAddr = pOptionHeader->DataDirectory[5];
	//获取重定位表
	PIMAGE_BASE_RELOCATION RelocationTable = (PIMAGE_BASE_RELOCATION)(RvaToFoa(RelocationAddr.VirtualAddress) + FileBuff);
	if (RelocationTable == NULL)
	{
		printf("重定位表为空!\n");
		return;
	}
	UINT CountTable = 0;
	while (1)
	{
		if (RelocationTable->VirtualAddress == 0)
		{
			break;
		}
		CountTable++;
		//获取偏移数据的个数
		DWORD NumOfBlock = (RelocationTable->SizeOfBlock - 8) / 2;
		//指向相加,加的是sizeof(类型)
		WORD* PrelocOffset =(WORD*)RelocationTable +4;	//跳过8个字节,到达第一个偏移的位置
		for (UINT i = 0; i < NumOfBlock; i++)
		{
			//偏移地址的高4位为标志	位,低12位为数据位,高四位等于3 证明其是个有效的数据
			if (((*PrelocOffset) & 0x3000) == 0x3000)
			{
				DWORD Rva = (*PrelocOffset & 0x0FFF) + RelocationTable->VirtualAddress;
				printf("Rva: %#x\n", Rva);
			}
			PrelocOffset++;
		}
		//继续遍历下一个重定位表
		RelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)RelocationTable + RelocationTable->SizeOfBlock);
	}
	printf("重定位表的总数: %d\n", CountTable);
}

运行可得:我们的重定位表不止有一个,在一个重定位表之后就是另一个重定位表,可以通过

RelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)RelocationTable + RelocationTable->SizeOfBlock);

得到下一个重定位表,然后再此重复执行此操作,即可得到了所有的便宜数据。
在这里插入图片描述
在这里插入图片描述

Yuleo_
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
重定位结构解析
ChuMeng1999的博客
10-24 790
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节解析以及RVA与文件偏移地址的转换》。 本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。 实验目的 1)了解重定位的原理; 2)了解PE文件重定位结构
重定位
weixin_43990313的博客
07-12 620
概述 数据目录项的第6个结构,就是重定位。 结构 重定位的结构 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; } IMAGE_BASE_RELOCATION; typedef IMAGE_BASE_RELOCATION ,* PIMAGE_BASE_RELOCATION; 该结构体有两个成员:一个是地址,一个是大小。如下图所示:一个重定位由多个大小SizeOfB
2.10 PE结构:重建重定位结构
最新发布
CSDN
09-09 4583
Relocation(重定位)是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中,由于程序中使用了各种全局变量和函数,这些变量和函数的地址还没有确定,因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时,这些相对地址需要被修正为实际的绝对地址,这个过程就是重定位。 在Windows操作系统中,程序被加载到内存中运行时,需要将程序中的各种内存地址进行重定位,以使程序能够正确地运行。Windows系统使用PE(Portable Executable)文件格式来存储可执行程
重定位详解
For Geek
05-10 3872
重定位对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位作为一个单独的区块放到区块中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
PE文件详解八:IMAGE_BASE_RELOCATION STRUC基址重定
weixin_34417200的博客
01-11 235
什么是基址重定位?答:重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址重定位但凡涉及到直接寻址的指令都需要进行重定位处理! IMAGE_BASE_RELOCATION STRUC 【基址重定位位于数据目录的第六项,共8+N字节】 { +00 h DWORD VirtualAddress ;重定位数据开始的RVA...
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
- **重定位**:PE文件可能需要在不同的内存地址加载,因此包含了重定位信息,以修正代码和数据的相对地址。 - **调试信息**:PE文件可以包含调试信息,帮助开发者调试程序。 - **安全特性**:如数字签名,确保...
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
- **重定位**:解析重定位项,理解如何在加载时调整地址。 - **RVA(相对虚拟地址)与Offset(偏移量)转换**:RVA是文件在内存中的地址,而Offset是磁盘上的位置。工具能够帮助理解和转换两者之间的关系。 3. ...
PE文件详解
05-24
- 可帮助调试器识别和解析PE文件,包含模块信息、符号、行号信息等。 8. **异常处理(Exception Handling Table)** - 描述了程序在遇到异常时应如何处理的规则和结构。 9. **安全特性(Security Features)...
PE文件格式入门详解
05-20
1. 重定位:由于地址空间的动态性,PE文件在加载到内存时可能需要调整代码和数据的地址。重定位记录了这些需要调整的位置,确保程序正确运行。 2. 调试信息:PE文件还可以包含调试信息,如调试符号,便于...
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
重定位修改办法.rar
06-09
1.重定位的修改方法,而不是修改入口点函数,根据相对地址偏移的方法。 2:重定位的内容: 第[0001]项 数据项的数据为:[0006] 数据属性为:[3] RVA的地址为:[00001006] 重定位的数据:[68264000]; RVA里面的地址相当于注册在重定位里面,dll加载时会自动修改。
Windows PE 格式详解.zip
03-16
- **重定位**:如果文件的虚拟地址与进程地址空间冲突,操作系统会进行重定位,修正代码和数据的地址。 - **导入和导出**:PE文件可以导入其他DLL的函数,通过导入地址(IAT)实现。同时,PE文件也可以导出自己...
PE 重定位
加号减减号的博客
05-04 1316
PE 重定位简述 基址重定位 IMAGE_BASE_RELOCATION TypeOffset 重定位地址计算 重定位过程总结 参考资料 PE 重定位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然...
PE_重定位
qq_42363151的博客
09-25 132
PE
PE文件格式学习(八):基址重定位
11-08 249
1.简介 基址重定位位于数据目录中的第六个,它位于安全的后面。 这个的作用是用来索引那些需要重定位的数据的。当系统发现DLL的真实加载基址跟PE文件中的ImageBase中的值不一样时,就会启用基址重定位修复一些数据的地址。我们知道一个程序中可能包含多个DLL,因此有可能多个DLL之间的ImageBase是重合的,一旦某个加载基址被占用了,系统就会随机分配一个基址给将要加载的D...
重定位的原理&实现
xuplus的专栏
04-15 7798
重定位  病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
基址重定位
Mi1k7ea
06-09 1848
基址重定位(Base Relocation Table),记录PE重定位时需要修改的硬编码地址的位置。一般地,向进程的虚拟内存加载PE文件(EXE、DLL、SYS)时,文件会被加载到PE头的ImageBase所指的地址处。若加载的文件为DLL或SYS,且ImageBase位置加载了其他DLL或SYS文件时,则会进行PE重定位PE重定位是指PE文件无法加载到ImageBase所指位置时,而加载到...
golang实现PE文件解析
05-22
实现PE文件解析器的步骤如下: 1. 读取PE文件头,获取文件头信息。 2. 读取节头,获取节信息。 3. 读取导入、导出重定位等其他,获取相关信息。 4. 解析每个节的数据,获取代码、数据等信息。 5. 根据节中的信息,将PE文件中的代码、数据等部分映射到内存中。 6. 解析导入,获取导入的函数信息,并进行符号解析。 7. 解析导出,获取导出函数信息,并生成符号。 8. 处理重定位,修正代码中的地址。 9. 实现其他功能,如获取PE文件中的资源信息、版本信息等。 下面是一个简单的golang实现PE文件解析器的代码示例: ```go package main import ( "debug/pe" "fmt" "os" ) func main() { if len(os.Args) != 2 { fmt.Println("Usage: pe-parser <filename>") return } file, err := os.Open(os.Args[1]) if err != nil { fmt.Println("Failed to open file:", err) return } defer file.Close() peFile, err := pe.NewFile(file) if err != nil { fmt.Println("Failed to parse PE file:", err) return } fmt.Println("PE Header Info:") fmt.Printf("\tMachine: %s\n", peFile.FileHeader.Machine) fmt.Printf("\tNumber of Sections: %d\n", peFile.FileHeader.NumberOfSections) fmt.Printf("\tSize of Optional Header: %d\n", peFile.FileHeader.SizeOfOptionalHeader) fmt.Println("\nSection Table Info:") for _, section := range peFile.Sections { fmt.Printf("\tName: %s\n", section.Name) fmt.Printf("\tVirtual Address: %d\n", section.VirtualAddress) fmt.Printf("\tVirtual Size: %d\n", section.VirtualSize) fmt.Printf("\tRaw Size: %d\n", section.Size) fmt.Printf("\tOffset: %d\n", section.Offset) fmt.Println() } } ``` 该代码使用了golang标准库中的`debug/pe`包来实现PE文件解析器,可以获取PE文件头信息和节信息。你可以根据需要扩展代码以支持更多功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yuleo_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值