一、系统加载程序的过程
双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的
- 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用;
- 当DLL文件加载到进程空间的时候,可能会出现原来分配的ImageBase已经被其他文件占用了,此时就需要通过重定位表来修复,特别是在编译时已经写死的地址,如果没有进行修复,贴进来的DLL是无法被调用的;这里可以得出,重定位表的作用就是记录哪些地方在ImageBase被占用后需要进行修复的地方;
二、重定位表
1、如何定位重定位表?
通过 IMAGE_DATA_DIRECTORY(数据目录)第六个结构的VirtualAddress 属性 找到第一个IMAGE_BASE_RELOCATION 结构,重定位表只有上述这个 IMAGE_BASE_RELOCATION 结构若干个,这两个字段后面还接有一大块表数据
typedef struct _IAMGE_DATA_DIRECTORY{//数据目录项
DWORD VirtualAddress;//rva
DWORD Size;
}IMAGE_DATA_DIRECTORY,*PIMAGE_DATA_DIRECTORY;
typedef struct _IAMGE_BASE_RELOCATION{//重定位表
DWORD VirtualAddress;
DWORD SizeOfBlock;
}IAMGE_BASE_RELOCATION,*PIMAGE_BASE_RELOCATION;
2、重定位表的具体结构(重定位表一般不止一个,而是几个以上紧密顺序存储,直到VirtualAddress和SizeOfBlock都为0)
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的
3、重定位表的遍历
void ReLocationTable(PVOID pFileBuffer)
{
cout << "\n*********重定位表遍历*********\n" << endl;
//指针定义、赋值
PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pFileBuffer;
PIMAGE_NT_HEADERS pNT = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDos->e_lfanew);
PIMAGE_OPTIONAL_HEADER pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileBuffer + pDos->e_lfanew + 4 + IMAGE_SIZEOF_FILE_HEADER);
//如何定位重定位表的位置
//定位到第一个重定位表的位置
PIMAGE_BASE_RELOCATION pReLocation = (PIMAGE_BASE_RELOCATION)((DWORD)pDos + RvaToFoa(pFileBuffer, pOptionalHeader->DataDirectory[5].VirtualAddress));
//printf("%x\n", pReLocation->SizeOfBlock);
int i = 1;
while (pReLocation->VirtualAddress && pReLocation->SizeOfBlock)
{
//printf("第%d个块的VirtualAddress = %x ,SizeOfBlock = %x\n",i++,pReLocation->VirtualAddress,pReLocation->SizeOfBlock);
printf("第%d个块VirtualAddress:%x\n", i, pReLocation->VirtualAddress);
printf("第%d个块SizeOfBlock:%x\n", i, pReLocation->SizeOfBlock);
printf("第%d个块项数:%d\n", i, (pReLocation->SizeOfBlock - 8) / 2);
i++;
pReLocation = (PIMAGE_BASE_RELOCATION)((DWORD)pReLocation + pReLocation->SizeOfBlock);
}
//cout << "\n\t**********重定位表的详细导出********\n\t" << endl;
//pReLocation = (PIMAGE_BASE_RELOCATION)((DWORD)pDos + RvaToFoa(pFileBuffer, pOptionalHeader->DataDirectory[5].VirtualAddress));
//for (int i = 1; pReLocation->VirtualAddress != 0; i++)
//{
// WORD* pPrint = NULL;
// pPrint = (WORD*)((DWORD)pReLocation + 8);//pPritn指针指向将要开始遍历的每一块的第一个待修改的项
// printf("\n第%d块的每项遍历,基址为:%x\n", i, pReLocation->VirtualAddress);
// for (int j = 1; j <= (pReLocation->SizeOfBlock - 8) / 2; j++)
// {
// printf("第%d项的属性是:%x RVA:%x\n", j, ((*pPrint) & 0xf000) >> 12, (*pPrint) & 0xfff);
// pPrint++;
// }
// pReLocation = (PIMAGE_BASE_RELOCATION)((DWORD)pReLocation + pReLocation->SizeOfBlock);
//}
}