PE格式解析-重定位表分析

最新推荐文章于 2023-04-11 20:55:21 发布
最新推荐文章于 2023-04-11 20:55:21 发布
阅读量1k 收藏 6
点赞数 5
分类专栏: 逆向工程 文章标签: PE 重定位表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30145355/article/details/78926815
版权

vs中是否开启随机基址选项
这里写图片描述

一、随机基址与非随机基址的区别

1、非随机基址(固定基址)
在非随机基址的条件下,如果我们需要调用一个函数(函数地址为00408843),采取的汇编命令一般为JMP 00408843或 CALL 00408843

2、随机基址
开启随机基址以后,基址00400000将在每次应用程序运行的时候产生基址的变化,可能变成 00430000、004d0000…,此时编译器在编译程序的时候,无法直接将基址写成00400000,但是程序必须运行,此时就需要重定位的实现,使得程序在运行的时候,程序在内存中的地址随着基址的变化而变化。
Windows根据重定位表来解决随机基址的问题。在重定位表中,会记录很多的项目,PE文件加载器在加载应用程序到内存的时候,就会去查找是否有重定位项,如果有,就重新计算对应项目的基址的值,更新内存数据。也就是说,当你的应用程序刚加载到应用程序的时候,Windows的PE加载器就负责帮你将基址都进行更新。
例如:在基址不变的情况下是 0x00400000,此时打开了随机基址,使得程序在被PE加载器加载的时候,就将基址更新为0x00450000,那么上面提到的调用函数地址就变成了JMP 00458843与CALL 00458843.

二、对重定位表的分析

PE平面结构图:
这里写图片描述
测试例子:test.exe及完整PE平面结构图
1、重定位表(basereloc)
这里写图片描述
前四位为重定位表的RVA值,后四位为重定位表的大小(SIZE)
重定位表RVA:0001D000->文件偏移(00019800)
重定位表SIZE:0000018C

LoadPE查看重定位:
这里写图片描述
从文件偏移0x19800处截取0x18C个字节(重定位表的二进制信息)
这里写图片描述
注:以下为区段表信息
这里写图片描述

所有重定位数据里面会分成几个大的部分,每个部分有一个头部,占用8个字节,分别代表本部分的项目所对应的程序区段的起始RVA以及本部分的大小,剩下的每两个字节表示一个重定位项目。
本示例中,一共有两大部分,即.text与.rdata部分
这里写图片描述

2、接下来我们就来以第一大部分分析,即.text部分
例如重定位表的前八个字节:00 10 00 00 68 01 00 00
前四个字节的值:00001000 代表.text区段的起始RVA
后四个字节的值:00000168 代表该重定位部分的总大小0x168

接下来的每两个字节:例如 07 30=3007(高四位始终是3,Windows固定为3)真正有效的数据为0007,则根据起始RVA,计算出第一个需要重定位的项目位置为: 1000+0007=1007
第二个需要重定位的项目:1013
第三个需要重定位的项目:101E
第四个需要重定位的项目:102A

该部分需要重定位的总个数为 (0x168-0x8(前八个字节))/2=0xB0=176d

同理.rdata部分
.rdata区段的起始RVA:00002000
.rdata区段的大小:00000024
项目个数:(0x24-0x8)/2=0xE=14d
第一个项目:2108
第二个项目:2110
第三个项目:211C

3、重定位的流程
使用bpx MessageBoxW对下MessageBoxW断点
这里写图片描述
跳到断点处,即对话框处,对话框中显示的是全局变量szTips
这里写图片描述
向MessageBoxW压入szTips字符串处的汇编指令的地址为 0x010E12D0,容易得出0x010E0000为程序的基址,所以szTips的RVA值为0x12D0(文件偏移量为0x6D0)
这里写图片描述
在文件偏移0xx6D0处,可以看到汇编指令为68 80 33 40 00(68 表示push指令),和使用OD查看到的指令(加载到内存后)68 80330E01前3个字节相同,但是后面两个字节,一个为 40 00 ,一个为 0E 01,两个并不相同。这两个的差别就是由于重定位的实现导致的。

Windows是如何进行重定位的?
1)读取文件中的值,例如 80 33 40 00->0x00403380
2)读取文件中的基址(从Image_Optional_Header中的ImageBase获取)0x00400000
3)两个相减 0x00403380-0x00400000=0x3380
4)读取文件实际加载的基址 例如本示例中的 0x010E0000
5)更新重定位项 0x010E0000+0x3380=0x010E3380->80 33 0E 01
注:如果在随机基址下,直接载OD中修改重定位项将会出错。
例如:直接修改的文件中的值为 0x00909090
文件的基址为0x00400000,相减得 0x00509090,此时文件实际加载的基址为 0x01000000,那么此时重定位项在内存中的位置为 0x01509090,下次文件实际加载的基址为 0x02000000时,此时重定位项在内存中的位置为 0x02509090。可以发现,前后两次加载程序后的重定位的位置0x01509090与0x02509090位置并不相同,如果盲目修改,在再次加载程序的时候将会出错。

4、手动去掉示例程序的对话框内容(修改szTips值)
注:直接在OD中使用nop填充,会出现错误
通过上面我们知道,MesageBoxW重定位的参数RVA为0x12D1,文件偏移为0x6D1(开始位置为0x6D0后的68 push指令之后,即多一个字节0x6D1)
1)0x12D0可以看出,该部分属于0x1000,即.text部分,所以我们要找的重定位项目为 0x12D1-0x1000=0x2D1=>D1 32
2)在.text部分查找 D1 32
这里写图片描述
3)将D1 32填充为0,将会失败,因为重定位的项目个数在前8个字节中已经固定了,填充0后将会使得提前截断,导致重定位的项目个数减少,产生未知的错误(本例中会产生乱码)
即:
这里写图片描述
删除重定位项的方法为:将要删除的重定位项移到最后,再将随后的二进制填充为0。这样就避免了重定位项的缺少以及其他重定位项的无法实现问题
这里写图片描述
4)我们还可以更加的改进完美,可以修改.text重定位部分的大小为0x166,同时将.rdata部分向前移动两个字节.
示例
这里写图片描述
对于重定位表的大小还要进行修改,从0x18C改为0x18A
这里写图片描述

总结以上步骤:找出需要重定位的项目在哪个部分->分析出重定位的项目是哪个->在该部分里找到目标项目->对目标项目进行nop(其余往前移动,该部分同时修改该部分的大小->另存.exe文件

本文难免有所错误,如有问题欢迎留言

_观众
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE重定位解析
windows小菜鸡的博客
08-17 961
1、重定位的作用 在模块被加载到内存中,如果该模块没有装载到期待的位置,里面以固定形式而不是以偏移形式硬编码的地址就需要修正,这样程序才能被正确加载。 例如:CALL 401203。这个在编译器编译的时候将CALL后面的函数地址以硬编码的形式固定住,那么一旦模块不是被加载到40000的基址,而是被加载到100000,则这条函数调用指令就不能正确找到函数,这时候就需要修正这个401203为1001203才可以。这就需要重定位了 2、重定位的位置 可选PE头中数据目录项的第6个结构就是重定位。 注意:
笔记:PE结构(7)重定位解析
Q324411601的博客
09-03 197
笔记:PE解析(7)重定位
PE文件学习笔记(四):重定位(Relocation Table)解析
热门推荐
Apollon_krj的博客
08-18 1万+
1、重定位的作用重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
PE格式第七讲,重定位
weixin_30532369的博客
10-19 151
         PE格式第七讲,重定位 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶何为重定位(注意,不是重定位格) 首先,我们先看一段代码,比如调用Printf函数,使用OD查看. 那么大家有没有想过这么一个问题,函数的字符串偏移是00407030位置,函数Call的地址是00401020的...
PE文件解析--重定位
qq_31125257的博客
12-22 525
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
PE结构重定位分析.rar
01-10
文档说明应该详细解释了如何使用PElord来查看重定位,以及如何分析解析DLL中的重定位信息。通过学习这份文档,开发者可以更好地理解二进制代码的内部工作原理,这对于调试、逆向工程和程序优化都极其有用。 总...
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
- **重定位**:PE文件可能需要在不同的内存地址加载,因此包含了重定位信息,以修正代码和数据的相对地址。 - **调试信息**:PE文件可以包含调试信息,帮助开发者调试程序。 - **安全特性**:如数字签名,确保...
PE结构重定位
SMOne
06-30 1796
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 八、资源 九、重定位 1.概念 重定位 存的是PE文件中需要修改(变量数据)的地址的位置。 全局变量和局部静态变量在PE文件数据段中。 程序代码在寻址这些变量时,用的不是偏移RVA,而是直接地址VA。 2.使用规则 我们知道VA=基址+RVA,而基址默认是...
PE文件解析(5):重定位详解
ylh的博客
11-02 1587
1、重定位的作用 重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位的大小可以定位可以确定这个中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位不止
解析PE资源重定位
weixin_34122548的博客
04-18 210
这里三层结构一定要注意 nameOffset OffsetToDirctory 与 OffsetToData 联合体中的这三个偏移是相对资源最开始的位置的偏移但在第三层中的 offsetToData是相对虚拟地址(RVA)要先转换成 FOA再加上文件起始地址就是在文件中的地址 #include<Windows.h> #include<iostream> #includ...
PE导出重定位详解
93Storm
12-31 2467
此文档主要讲解导出重定位信息: 使用例子为: Windows.UI.Xaml.dll、010editor 1、导出重定位的地址存放在哪里 DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录 数据目录中的内容: structIMAGE_DATA_DIRECTORY  Export
模仿系统PE重定位实现
程序人生的专栏
06-13 1498
pRelocTable=&(pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]); //得到第一个重定位块 pRelocBlock=(PIMAGE_BASE_RELOCATION)(hModule+pRelocTable->VirtualAddress); //开始处理所有重定位数据 do {//处理一个接一个的重定位块,
PE第四节:解决随机基址或是函数随机地址问题-2
onlyfunboy的专栏
06-17 713
1.重定位的修改方法,而不是修改入口点函数,根据相对地址偏移的方法。 2:重定位的内容: 第[0001]项 数据项的数据为:[0006] 数据属性为:[3] RVA的地址为:[00001006] 重定位的数据:[68264000]; RVA里面的地址相当于注册在重定位里面,dll加载时会自动修改。 ...
去除程序的基址随机化
weixin_53349587的博客
01-02 1076
一个程序用IDA或OD打开时,发现每次打开的地址都是不一样的: 类似这种地址,这种叫基址随机化,可以通过CFF Explorer进行去除基址随机化。 解决方案: 1.打开CFF Explorer,将要修改的程序拖进去: 2.点击Optional Header,找到DllCharacteristics,然后再点击右边的Click here: 把第一个DLL can move取消,然后点击OK,重新保存文件即可去除基址随机化。 ...
PE文件关闭随机基址
最新发布
qq_29176323的博客
04-11 461
1.使用010Editor打开exe或者dll文件 dll不建议关闭随机基址,否则多个dll可能会冲突 2. 找到下图的WORD字段 将IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE改成0即可
手工脱壳之AsPack压缩脱壳-随机基址
baochi8399的博客
07-18 699
一、工具及壳介绍二、脱壳1、ESP定律脱壳2、单步跟踪脱壳3、基址重定位的修复 一、工具及壳介绍 使用工具:Ollydbg、PEID、ImportREC、LoadPE、010 Editor 查看待脱壳程序 查看AsPack壳特有的区段信息 小结:根据链接器版本推断待脱壳程序应该是VS 2013编...
PE格式的base reloc分区
ma_de_hao_mei_le的博客
12-29 284
程序雕塑被编译之后,编译器假设可执行文件将会在特定=1的v z基地址被加载,这个地址被保存在image_optional_header的imagebase成员中,一些地址会被计算出来然后硬编码到可执行文件中。出于各种原因,可执行文件并不会被加载到他想要的那块地址上,而是被加载到另外的一个基地址上,这样的话,所有的硬编码地址都会失效,那么所有硬编码的地址都需要首先进行修复然后才可以被使用。在.reloc分区中,这个被划分为多个块,每个块代一个4k的页,每一个块的起始地址必须是32bit的边界。
VS2008 影响程序大小和速度的选项
HelloKandy's Blog
08-02 3354
下面要说的,都是默认值是release的,debug版本一般不需要调选项。   项目 - 属性 - 配置属性 - C/C++ 【优化】: 通常,算法程序选择最大化速度(/O2),界面程序选择最小化大小(/O1),可以获得最佳的效果。  优选大小或速度,只有在使用完全优化(/Ox)时才有效。完全优化一般不推荐使用,用处就是可以生成速度与/O2基本相当,但是体积更小的代码(选速度优先的话)。其他...
在vs中编译后的全局变量地址不断变化
qq_39446651的博客
08-13 1137
对于不太熟悉vs的使用者来说,可能会有这样的疑惑,对于全局变量内存地址应该不会发生变化,但是在vs中每次编译地址内存都发生变化。可以通过这些 步骤来解决: 在菜单栏中选择项目(project)----对应项目属性-----连接器-------高级--------随机基址(屏幕的右边),修改其值(改为否)。 这样就可以就可以解决问题了。 ...
理解重定位:Windows环境下的PE文件解析
重定位PE文件(Portable Executable)中的一个重要组成部分,它存储了关于如何修正代码中绝对地址的信息。当程序加载到内存时,操作系统会依据重定位对代码进行必要的修改。重定位所需的数据通常包括: 1. ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值