PE--重定位表

最新推荐文章于 2022-11-02 23:08:44 发布
最新推荐文章于 2022-11-02 23:08:44 发布
阅读量368 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31694351/article/details/51475083
版权

基础知识

这里写图片描述

遍历重定位表

////////////////重定位表/////////////////////////////////
VOID _GetRelocInfo(PVOID pFileBuffer)
{
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNtHeaders = NULL;

    PIMAGE_BASE_RELOCATION pBaseRelocation=NULL;
    PWORD pRelocData=NULL;
    DWORD dwRVA=0;

    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
    {
        printf("not a mz header!\n");
        return ;
    }
    pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
    if (pNtHeaders->Signature != IMAGE_NT_SIGNATURE)
    {
        printf("not a PE header!\n");
        return ;
    }

    //重定位表位置
    pBaseRelocation=(PIMAGE_BASE_RELOCATION)((DWORD)pFileBuffer+_RVAToOffset(pFileBuffer,pNtHeaders->OptionalHeader.DataDirectory[5].VirtualAddress));

    while(pBaseRelocation->VirtualAddress!=0&&pBaseRelocation->SizeOfBlock!=0)
    {
        printf("VirtualAddress: 0x%x\n",pBaseRelocation->VirtualAddress);
        printf("SizeOfBlock: 0x%x\n",pBaseRelocation->SizeOfBlock);
        printf("RVA                        TYPE\n");
        printf("-----------------------------------------------\n");
        pRelocData=(PWORD)((DWORD)pBaseRelocation+0x8);
        for(int i=0;i<(pBaseRelocation->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))/2;i++)
        {
            if(*(pRelocData+i)>>12==3)
            {
                dwRVA=*(pRelocData+i)&0x0fff+pBaseRelocation->VirtualAddress;
                printf("0x%x                         HIGHLOW\n",dwRVA);
            }
            else
            {
                printf("0xffffffff                 ABSOLUTE\n");
            }
        }
        pBaseRelocation=(PIMAGE_BASE_RELOCATION)((DWORD)pBaseRelocation+pBaseRelocation->SizeOfBlock);
    }
    return;
}
qq_31694351
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构中重定位的分析.rar
01-10
1:包含一个dll,PElord工具和一个文档说明 2:用一个dll对PE结构中的重定位进行了解析和数据还原
再议易语言静态编译重定位数目过多
Liigo's blog
06-22 3164
有关易语言“静态编译的EXE重定位项不能多于65535个”问题,提供详细的分析和应对办法。
易语言重定向redirect处理
Quincy.Coder的博客
12-20 1828
.版本 2 .程序集 窗口程序集1 .子程序 _按钮1_被单击 .局部变量 返回文本, 文本型 返回文本 = 到文本 (网页_访问 (编辑框1.内容, , , , , , , 真)) 输出调试文本 (返回文本) 编辑框2.内容 = 文本_取出中间文本 (返回文本, #link_b, #link_a) ...
PE文件解析(5):重定位详解
ylh的博客
11-02 1403
1、重定位的作用 重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位的大小可以定位可以确定这个中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位不止
傀儡进程注入
qq_40710190的博客
05-08 921
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
说说编译链接系统中的符号(symbol)、重定位(relocation)、字串(string-table)和节(section)
Liigo's blog
11-23 1万+
作者:liigo日期:2009/11链接:http://blog.csdn.net/liigo/archive/2009/11/23/4858535.aspx转载请注明出处:http://blog.csdn.net/liigo  编译(compile)和链接(link),是计算机编程语言的通用处理系统。编译,是把程序源代码转换为目标文件;链接,是把目标文件转换为可执行文
PE重定位练习
10-07
该文件包含一个dll和PEview,和文章中的截图对应,方便大家更好的理解PE重定位原理
pe 文件编程:清除文件头中的重定位.rar_pe_清楚重定位
09-21
pe 文件编程:清除文件头中的重定位.rar
pe-parse:原理轻巧的CC ++ PE解析器
05-12
例如,列出重定位,描述导入和导出,并支持从虚拟地址读取字节以及文件偏移量。 pe-parse通过提供用于以下目的的方法的最小API支持这些用例: 打开和关闭PE文件 迭代导入的函数 遍历重定位 遍历导出的函数 遍历各...
PE文件重定位信息编辑工具 v1.0 绿色免费版.zip
03-25
PE文件重定位信息编辑工具是一款编程工具类软件,有了它以后,用户在编辑PE文件时就不需要每次都去查看重定位的内容了,非常的方便和实用,喜爱的朋友赶快下载体验吧! 官方介绍 PE文件重定位信息编辑工具是一款...
PE结构之重定位
weixin_30462049的博客
11-13 160
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
PE文件重定位
weixin_43575859的博客
03-17 339
要链接PE文件中的重定位的话,我们首先要知道哪些指令需要重定位,还有重定位的算法是怎样的。汇编中有些指令要用到内存地址,并且在编译的时候这些地址就固定在机器码里面了,如果我们程序的实际装入地址与模块的减一装入地址是相同的,那么这个指令就没问题,但是当实际装入地址与建议装入地址不相同时,如果没有重定位就会出问题了。 举个例子,假如我们在程序中写的代码是: mov eax,dword ptr [0...
PE重定位
跃然实验室
06-11 365
重定位解决Pe文件实际加载基址与PE文件中所指定的加载基址不同时带来的问题。 保存有待修正数据的地址 EXE文件不存在重定位:对于EXE文件来说,每个文件总是使用独立的虚拟地址空间,所以EXE总是能够按照这个地址装入,这意味着EXE 文件不再需要重定位信息。   DLL文件需要重定位:对于DLL文件来说,由于多个DLL文件全部使用宿主EXE文件的地址空间,...
PE结构&基址重定位
寻梦&之璐
02-03 8063
重定位定位 重定位为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中, 重定位所在地址RVA=0x1F000 重定位数据大小=39C RVA转FOA后可以得到文件偏移地址为0x9800 重定位项IMAGE_BASE_RELOCATION 与导入类似,重定位指针指向的位置就是一个数组,而不像导出一样只有一个结构,这个数组的每一项都是如下结构: IMAGE_BASE_RELOCATION STRUCT VirtualAddress dd ? ;重定位内存页的起始RV
PE文件学习笔记(四):重定位(Relocation Table)解析
热门推荐
Apollon_krj的博客
08-18 1万+
1、重定位的作用重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
PE文件解析-输入、输出重定位
zhyulo的博客
01-03 3155
一、 输入 1、输入地址定位    PE文件头可选映像头中数据目录的第二成员指向输入,输入以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个单元是NULL。     数据目录的第二成员 IMAGE_DATA_DIRECTORY DataDirectory[IM...
WinPE基础知识之重定位
weixin_30471561的博客
05-11 116
typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; // (重要)需要重定位的位置,这是一个RVA DWORD SizeOfBlock; // (重要)这个结构体的大小(算上TypeOffset) // WORD TypeOffset[1]; // (重要)存放的是相对...
windows PE的详细资料
最新发布
03-21
Windows PE(Portable Executable)是Windows操作系统中可执行文件和动态链接库(DLL)的标准格式。它是一种可移植的可执行文件格式,用于在Windows操作系统上运行应用程序。 Windows PE文件包含了程序的代码、数据和资源,以及用于加载和执行程序的信息。它由多个部分组成,包括DOS头、COFF头、节和数据目录等。 1. DOS头:DOS头是PE文件的开头部分,包含了一些DOS相关的信息。这部分主要是为了兼容早期的DOS系统。 2. COFF头:COFF头是PE文件的第一个标准头部,它包含了一些基本的文件信息,如文件类型、目标机器类型、节偏移等。 3. 节:节PE文件中最重要的部分之一,它描述了文件中各个节(section)的信息。每个节都包含了一段连续的数据,如代码、数据、资源等。节中的每个条目描述了一个节的起始位置、大小、属性等。 4. 数据目录:数据目录是PE文件中的一个重要部分,它包含了一些特殊功能的数据结构的位置和大小信息。例如,导入、导出重定位等。 除了上述基本结构外,PE文件还包含了其他一些重要的信息,如导入(描述了程序所依赖的外部函数)、导出(描述了程序提供给其他模块使用的函数)、重定位(用于修正程序在内存中的地址)等。 Windows PE文件的格式是由Microsoft定义的,并且在不同的Windows版本中有所变化。了解PE文件的结构和格式对于进行二进制分析、逆向工程和软件开发都非常重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值