PE文件解析--重定位表

最新推荐文章于 2022-11-02 23:08:44 发布
最新推荐文章于 2022-11-02 23:08:44 发布
阅读量473 收藏 2
点赞数
分类专栏: 底层逆向学习 文章标签: visual studio c++ ide
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31125257/article/details/122080973
版权

一、系统加载程序的过程

双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的

在这里插入图片描述

  • 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用;
  • 当DLL文件加载到进程空间的时候,可能会出现原来分配的ImageBase已经被其他文件占用了,此时就需要通过重定位表来修复,特别是在编译时已经写死的地址,如果没有进行修复,贴进来的DLL是无法被调用的;这里可以得出,重定位表的作用就是记录哪些地方在ImageBase被占用后需要进行修复的地方;
    在这里插入图片描述

二、重定位表

1、如何定位重定位表?
通过 IMAGE_DATA_DIRECTORY(数据目录)第六个结构的VirtualAddress 属性 找到第一个IMAGE_BASE_RELOCATION 结构,重定位表只有上述这个 IMAGE_BASE_RELOCATION 结构若干个,这两个字段后面还接有一大块表数据

typedef struct _IAMGE_DATA_DIRECTORY{//数据目录项
	DWORD VirtualAddress;//rva
	DWORD Size;
}IMAGE_DATA_DIRECTORY,*PIMAGE_DATA_DIRECTORY;

typedef struct _IAMGE_BASE_RELOCATION{//重定位表
DWORD VirtualAddress;
DWORD SizeOfBlock;
}IAMGE_BASE_RELOCATION,*PIMAGE_BASE_RELOCATION;

2、重定位表的具体结构(重定位表一般不止一个,而是几个以上紧密顺序存储,直到VirtualAddress和SizeOfBlock都为0)
在这里插入图片描述
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的

3、重定位表的遍历

void ReLocationTable(PVOID pFileBuffer)
{
	cout << "\n*********重定位表遍历*********\n" << endl;
	//指针定义、赋值
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNT = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDos->e_lfanew);
	PIMAGE_OPTIONAL_HEADER pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileBuffer + pDos->e_lfanew + 4 + IMAGE_SIZEOF_FILE_HEADER);
	//如何定位重定位表的位置
	//定位到第一个重定位表的位置
	PIMAGE_BASE_RELOCATION pReLocation = (PIMAGE_BASE_RELOCATION)((DWORD)pDos + RvaToFoa(pFileBuffer, pOptionalHeader->DataDirectory[5].VirtualAddress));
	//printf("%x\n", pReLocation->SizeOfBlock);
	int i = 1;
	while (pReLocation->VirtualAddress && pReLocation->SizeOfBlock)
	{
		//printf("第%d个块的VirtualAddress = %x ,SizeOfBlock = %x\n",i++,pReLocation->VirtualAddress,pReLocation->SizeOfBlock);
		printf("第%d个块VirtualAddress:%x\n", i, pReLocation->VirtualAddress);
		printf("第%d个块SizeOfBlock:%x\n", i, pReLocation->SizeOfBlock);
		printf("第%d个块项数:%d\n", i, (pReLocation->SizeOfBlock - 8) / 2);
		i++;
		pReLocation = (PIMAGE_BASE_RELOCATION)((DWORD)pReLocation + pReLocation->SizeOfBlock);
	}
	//cout << "\n\t**********重定位表的详细导出********\n\t" << endl;
	//pReLocation = (PIMAGE_BASE_RELOCATION)((DWORD)pDos + RvaToFoa(pFileBuffer, pOptionalHeader->DataDirectory[5].VirtualAddress));
	//for (int i = 1; pReLocation->VirtualAddress != 0; i++)
	//{
	//	WORD* pPrint = NULL;
	//	pPrint = (WORD*)((DWORD)pReLocation + 8);//pPritn指针指向将要开始遍历的每一块的第一个待修改的项
	//	printf("\n第%d块的每项遍历,基址为:%x\n", i, pReLocation->VirtualAddress);
	//	for (int j = 1; j <= (pReLocation->SizeOfBlock - 8) / 2; j++)
	//	{
	//		printf("第%d项的属性是:%x  RVA:%x\n", j, ((*pPrint) & 0xf000) >> 12, (*pPrint) & 0xfff);
	//		pPrint++;
	//	}

	//	pReLocation = (PIMAGE_BASE_RELOCATION)((DWORD)pReLocation + pReLocation->SizeOfBlock);

	//}
}

结果

在这里插入图片描述

逮虾户肉丝
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pe-parse:原理轻巧的CC ++ PE解析
05-12
pe-parse pe-parse是用于Windows可... dump-pe/main.cpp的程序是使用解析器库API转储有关PE文件信息的示例。 在内部,解析器库使用有限的缓冲区抽象来访问存储在PE文件中的信息。 这应该有助于构造一个合理的解析
重定位介绍
只为改变自己
05-04 1582
PE重定位介绍
PE文件解析(5):重定位详解
ylh的博客
11-02 1360
1、重定位的作用 重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位的大小可以定位可以确定这个中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位不止
PE-重定位
qq_51600802的博客
10-27 892
按照上述思路,可写代码打印重定位的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
重定位
qq_41490873的博客
12-23 195
位于数据目录的第6个结构, 通过结构的virtualAddress可以找到在文件中的FOA。 重定位分为几个block,block的第一个4字节是块的virtualAddress第二个四字节是block的大小。 下一个块的FOA=第一个块的FOA+大小 最后一个kuai的前8字节为0结构 ...
重定位详解
For Geek
05-10 3786
重定位对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位作为一个单独的区块放到区块中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
PEInfo.zip_peinfo_pe解析
09-23
C语言和SDK实现,解析PE格式文件,比如导入,导出,资源,重定位
PE手术刀模块-易语言
06-11
置_DEP与ASLR() 用于设置PE文件是否使用数据执行保护技术或者ASLR(ASLR开启会导致EXE的基质成为动态的,需要重定位支持) 没测试过不知道是否有效. 取_结构地址() 2.[优化了逻辑的函数] 导入解析相关函数 区段_...
PE手工编辑EXE 贺昌峰.rar(EXE文件手工编辑过程, PE文件格式,为EP编写的EXE源程序VC工程 )
10-23
对一个EXE文件进行简单的修改:增加一个函数,并使程序运行后,该函数也能够执行。 目的: (1)对PE的结构有一个了解 ... (4)对EXE中的重定位和导入、导出有一个理解 (5) 对汇编语言有一个学习和复习
类似于~~ grep ~~ UBER,但适用于二进制文件-Python开发
05-25
当前后端:ELF 32/64,arm,x86,openrisc-所有其他后端都将解析和着色,但重定位将无法正确显示Mach 32/64,arm,x86 Unix和BSD存档打印机PE(仅调试)注:需要构建rustc 1.20或更高版本。 如果您使用发行版的rust...
重定位的添加/编辑/删除工具
05-14
自己写的用于重定位的添加/编辑/删除工具
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
PE文件学习笔记(四):重定位(Relocation Table)解析
热门推荐
Apollon_krj的博客
08-18 1万+
1、重定位的作用重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
PE结构】重定位
SMOne
06-30 1729
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 八、资源 九、重定位 1.概念 重定位 存的是PE文件中需要修改(变量数据)的地址的位置。 全局变量和局部静态变量在PE文件数据段中。 程序代码在寻址这些变量时,用的不是偏移RVA,而是直接地址VA。 2.使用规则 我们知道VA=基址+RVA,而基址默认是...
写一个PE的壳_Part 4:修复对ASLR支持+lief构建新PE
可乐松子的博客
05-27 468
文章目录1.解决思路step 1:当前现状step 2:解决思路step 3:内存布局2.修改unpack部分Image BasePE Header and Section3.修改python的打包程序step 1:构建unpack部分step 2:ASLR特殊处理4.构建结果处理 Part 3中遗留了一个隐患,MinGW无法生成重定位,因此无法产生可移动的二进制文件;Part 4中要处理MinGW生成的可执行文件(不能移动的,即不支持ASLR的二进制文件)的打包问题 1.解决思路 step 1:当前
PE文件格式中数据目录项中的重定位和模拟LoadLibrary
qq_35426012的博客
11-15 309
重定位 重定位的作用 当链接器生成一个PE文件时,会假设这个文件在执行时被装载到默认的基址处,并把code和data的相关地址都写入到PE文件中,如果加载PE文件时将默认的值作为基地址加载,则不需要重定位。如果PE文件被装载到虚拟内存的另一个地址的话,连接器记录的那个地址就是错误的,这时就需要重定位来进行调整地址VA 重定位的结构定义 typedef struct _IMAGE_BAS...
重定位结构解析
ChuMeng1999的博客
10-24 768
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节解析以及RVA与文件偏移地址的转换》。 本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。 实验目的 1)了解重定位的原理; 2)了解PE文件重定位结构
重定位 (1)
richard1230的博客
10-09 1309
1.重定位的需求: 在生成程序的时候,很多涉及到地址的代码,都使用一个绝对的虚拟内存地址(这个虚拟内存地址是假设程序加载到0x400000的地方时才能够使用的),但是当程序的加载基址产生变化的时候,新的加载基址和默认的加载基址就不一样了,那些涉及到地址的代码就不能运行了,此时就需要将那些涉及到地址的代码,把他们的操作数修改(去掉默认加载基址,再加上新的加载基址)才能够使程序运行起来. 2.产生重定...
golang实现PE文件解析
最新发布
05-22
实现PE文件解析器的步骤如下: 1. 读取PE文件头,获取文件头信息。...该代码使用了golang标准库中的`debug/pe`包来实现PE文件解析器,可以获取PE文件头信息和节信息。你可以根据需要扩展代码以支持更多功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值