【2021.01.15】重定位表

最新推荐文章于 2022-11-02 23:08:44 发布
最新推荐文章于 2022-11-02 23:08:44 发布
阅读量247 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/112646463
版权
重定位表是PE文件结构的一部分,用于解决不同DLL中相同全局变量地址冲突的问题。当多个DLL加载时,由于加载顺序可能导致地址冲突,重定位表通过记录和修改这些冲突的地址,确保每个DLL的全局变量能在正确的位置被访问。重定位表由多个重定位块组成,每个块负责修复4KB物理页内的地址。表的结束由8个连续的00字节标记。每个重定位项使用12位表示在4KB页内的偏移,高4位用于辅助判断是否需要重定位。
摘要由CSDN通过智能技术生成

什么是重定位表?为什么要有重定位表?

  1. 如上图 A.DLL 和 B.DLL 中某个或多个的全局变量编译时可能是相同的内存地址。
  2. 如果 A.DLL 先行加载,其中的某个全局变量抢占到了 0x00410000 这个内存地址。
  3. B.DLL 因为后加载的原因,是从 0x00420000 处开始展开。此时,B.DLL 中如果有全局变量的地址也是 0x00410000 这个内存地址,就会出问题。
  4. 因为在调用 B.DLL 中某个全局变量的时候,如 0x00410000 地址的变量,但因为 B.DLL 是从 0x00420000处开始展开的,所以就无法调用。
  5. 那么这个时候就需要有一张表,记录并修改冲突的项目,例如把 B.DLL 中的 0x00410000 改为 0x00420000,那么就能正常使用了。

重定位表的位置

PE结构图:IMAGE_OPTIONAL_HEADER->DataDirectory 中的 IMAGE_DIRECTORY_ENTRY_BASERELOC 成员,就是重定位表。

typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;
    DWORD   SizeOfBlock;        //以字节为单位,它有多大代表一个重定位块有多大
} IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

什么是重定位块?

一个PE文件中需要修正的地方是有很多的,需要分成很多块来记录。

根据什么来设计为一块一块的?

  1. 内存以 4KB 为单位,也就是在物理内存上,每个内存的大小划分是 4KB,4KB为一个物理页,重定位表也是如此设计。
  2. 一个物理页创建一张重定位表,每张重定位表只负责修复当前物理页上的相关内容,与其他物理页不影响。

如何确定重定位表结束?

直到出现连续 8 个为 00 的字节,代表当前进程重定位表结束。

  • 每个物理页(4KB)重定位表中的地址,在4KB中的偏移需要多少个二进制位才能找到偏移?2的12次方 = 4KB
  • 物理页只有 4KB,如果想找到物理页中的任何一个地址,只需要 12 个二进制位就够了,但是占用了 16 个位。
  • 也就是说,虽然重定位表中真正要修正的数据每个是 2 字节(16 个二进制位),但是真正使用到的只有 16 个二进制位中的 12 个二进制位。
  • 16 个二进制位的高 4 位挪作他用(图中标红的部分),当操作系统真正要修复某个位置的时候,先判断高 4 位。
  • 只有当高 4 位的值等于 3 的时候,才意味着 VirtualAddress + 低12位 才是真正要修复的位置。
oalken
关注
专栏目录
PE结构-重定位
小喇叭儿滴滴的吹
03-04 382
首先,先来说一下为什么需要重定位,先来观察一段程序 00401000 >/$ 6A 00 push 0 ; /Style = MB_OK|MB_APPLMODAL 00401002 |. 68 1D204000 push 0040201D ...
(三十四 :2021.01.12)MICCAI 2015 追踪之论文纲要
Jojo论文基地
01-11 1794
讲在前面 PART I、PART II和PART III。 论文目录 PART I Advanced MRI: Diffusion, fMRI, DCE(高级MRI:扩散,fMRI,DCE) 概要 1.Automatic Segmentation of Renal Compartments in DCE-MRI ImagesDCE-MRI图像中肾小段自动分割 2.Harmonizing Diffusion MRI Data Across Multiple Sites and Scann
PE结构之重定位
weixin_30462049的博客
11-13 174
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
重定位介绍
只为改变自己
05-04 1632
PE重定位介绍
滴水逆向三期实践15:根据重定位修正地址
Rivival_S 的博客
10-28 2518
占坑
PE文件结构(四)
weixin_34026484的博客
09-20 96
PE文件结构(四) 9.重定位(relocations)-----------------------我将要描述的最后一个数据目录是基址重定位目录。它是由可选头数据目录中的IMAGE_DIRECTORY_ENTRY_BASERELOC(基址重定位目录项)项来指向的。典型的,它包含在自己的节中,名字象“.reloc”这样,并且IMAGE_SCN_CN...
百度知识中台白皮书2021.01.03..pdf
05-14
1.观点摘要. 2.企业在数字化转型中面临的问题和挑战. 2.1企业面临着外部环境快速变化的新问题 2.2内部管理能力和传统IT架构无法应对转型要求 ...6.2重装上阵,知识中台持续提升自身能力,推动企业转型..
(二十九:2021.01.10)MICCAI 2019 追踪之论文纲要(下)
Jojo论文基地
01-11 2514
讲在前面 这部分是PART V和PART VI。 论文目录 PART V Computer-Assisted Interventions(计算机辅助干预) 概要 1.Robust Cochlear Modiolar Axis Detection in CTCT中稳健的耳蜗轴轴检测 2.Learning to Avoid Poor Images: Towards Task-aware C-arm Cone-beam CT Trajectories学习避免不良图像:迈向任务感知型C型臂锥束
(三十五:2021.01.12)MICCAI 2019学习(一)《前列腺近距离放射治疗中粒子定位的深度回归模型》
Jojo论文基地
01-12 729
《A Deep Regression Model for Seed Localizationin Prostate Brachytherapy》讲在前面摘要论文内容1.介绍2.方法论2.1 深度回归模型 讲在前面 一.当前粒子植入手术面对着术中及术后植入粒子剂量核验的问题,本人现在已经完成一部分这样的工作,能够比较有效的将粒子在空间中进行聚类,结果较为理想但在面对多个粒子伪影重叠的情况下,仍然有较大的误差存在。刚好找到这篇极具研究价值的论文,希望能理解其精髓思想,尽快复现其内部知识; 二.我设计了几种字体
2022.01.05-2021年青岛房地产市场总结-锐理数据-112页.pdf
最新发布
09-15
【青岛房地产市场】2021年的青岛房地产市场在宏观经济的大背景下展现出独特的态势。全国经济方面,2021年前三季度中国GDP总量达到82.3万亿元,同比增长9.8%,预计全年增长约8.0%。然而,CPI(消费者价格指数)保持...
PE文件学习(四)基址重定位
SanSiro1的博客
08-27 2120
数据目录的IMAGE_DIRECTORY_ENTRY_BASERELOC项指向此结构,由于在Windows系统中DLL(动态链接库)文件并不是每次都能加载到预设的基址(ImageBase)上,因此基址重定位主要应用于DLL文件中。       一般情况下重定位位于一个名为.reloc的区块内,PE文件中的重定位结构是由多个IMAGE_BASE_RELOCATION子结构组成的,每个子结构只负责
【PE】PE文件结构学习
dr0op's blog
03-31 1342
【PE】PE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE头文件区块输入输出:基址重定位: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
编写PE文件解析器(三)
当我在写代码的时候我在写什么
10-24 2992
下面有几个网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理】 CPU特定的并且基于的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNT
PE文件解析(5):重定位详解
ylh的博客
11-02 1600
1、重定位的作用 重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位的大小可以定位可以确定这个中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位不止
《黑客免杀攻防学习笔记》——PE文件结构3
Traxer的学习之路
12-17 1224
文章中的图片大部分为自己做截屏,少量摘自网络,若有侵权请及时告知,我会尽快删除。转载请注明出处。 接上一篇,上一篇了解了一些常用的结构的基本结构,这一篇从异常结构开始学习。 7.异常          PE文件中的异常目录用于描述异常处理函数、SEH地址等信息,存储于.pdata 段内,数据目录项的第四项指向结构的RVA。异常处理和处理器平台有关,所以书上是用64位处理器的平台作
PE-重定位
qq_51600802的博客
10-27 944
按照上述思路,可写代码打印重定位的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
重定位详解
For Geek
05-10 3956
重定位对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位作为一个单独的区块放到区块中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
Vue.js集成百度地图及定位教程
"vue百度地图 + 定位的详解" 在Vue.js项目中集成百度地图并实现定位功能,需要经过以下几个步骤: 首先,你需要有一个百度地图的API密钥(AK),如果没有,你可以访问百度地图开放平台进行申请。 一、在项目的主...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值