PE目录项之重定位表(解析、移动、模拟运作)

最新推荐文章于 2023-10-17 17:34:36 发布
最新推荐文章于 2023-10-17 17:34:36 发布
阅读量1.4k 收藏 8
点赞数 2
分类专栏: PE文件结构 文章标签: Windows PE 代码 光盘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35289660/article/details/107107887
版权

PE目录项之重定位表(解析、移动、模拟运作)

文章目录

0.说明

观看滴水逆向视频总结(部分截图来自于滴水课件)

编译器:vc++6.0

编写语言:c

观看滴水逆向视频总结(部分截图来自于滴水课件)

欢迎大家留言交流😃^ __ ^

可以加我qq一起学习:1245885144😄🤣

这篇文章写得好!滴水逆向三期 PE基础 移动重定位表与修改IMAGEBASE

1.解析重定位表

(1)作用

背景

  1. 程序在加载的过程中,是将自己的pe文件按照SectionAlignment对齐+ImageBase拉伸后,贴到内存中,就会存在,多个dll无法站住自己的ImageBase,被迫修改ImageBase
  2. 每个文件的内存数据中,一部分的汇编语句的寻址,后面接的是一个固定的地址(硬编码),这个地址是在自己原有的ImageBase之上的。

如果一个PE结构修改ImageBase,那么文件内部的固定地址就会失效,且pe程序内的固定地址很多。

此时就需要一张表来记录 存储这些固定地址 的地址(RVA),当ImageBase修改时,系统随即根据这张表里记录的RVA,修正这个RVA所指向的固定地址。这张表就是重定位表。

image-20200703144516790

真正的重定位表还会有细分之处

(2)详解

image-20200703145746715

由于pe程序内存在很多要修改的固定地址,系统为了方便存储和查找,就将存储在pe内存中各个区段的固定地址,按RVA大小分成多个区段。(比如:1000~2000, 2000~3000 ,3000~4000……),且每个区段只需要记录一个区段头地址,下面的表就记录这个区段的RVA的尾部,这个尾部与区段头相或(或者相加),即得到真正的RVA。

image-20200703151418414

所以,

重定位表记录的要修改的固定地址所在内存位置的RVA:每个RVA区段(块)的VirtualAddress+(下面的2字节数据 & 0xfff),(取2进制数低12位)。

一般默认每个块的地址个数为:(SizeOfBlock - 8)/2

如何确定重定位表结束:因为每个RVA区段(块)是连在一起的,我们秩序按照SizeOfBlock,挨个遍历,如果VirtualAddress和SizeOfBlock同时为0,代表结束。

2.移动重定位表到新建节区

image-20200703154031902

3.模拟重定位表工作

(1)重定位表的工作

如果PE程序运行时,在内存中站住了自己ImageBase的内存位置,此时重定位表就没有用。

如果PE程序运行时,在内存中没有站住自己ImageBase的内存位置,就需要修正重定位表的固定地址。

比如,原本dll程序自身的ImageBase为10000000,但是发现内存中这个位置已有一个dll,而内存中12000000的位置是空的,那自己只能修改ImageBase为12000000,贴到这里来,两个位置差值为2000000,所以重定位表中的RVA所指向的每一个固定地址,都要自增2000000,这样就完成了重定位表的工作。

(2)模拟它工作

  1. 第一步:将PE文件读取到内存中。
  2. 第二步:修改ImageBase,记录ImageBase前后差值
  3. 第三部:遍历重定位表中的RVA所指向的固定地址,将其加上ImageBase的前后差值。
  4. 第四部:将PE文件存盘

不吹不黑,这篇文章写得好😃!滴水逆向三期 PE基础 移动重定位表与修改IMAGEBASE

4.C源代码

代码省略了新增节区和RVA与FOA的转换。

(1)解析重定位表

image-20200703155552292

image-20200703155607955

//功能:解析、打印重定位表
//参数:指向该程序被读取到内存的指针
//返回值:无
void ReadPE( LPVOID pFileBuffer )
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS32 pNtHeader = NULL;
	PIMAGE_FILE_HEADER pFileHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;

	PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;

	PIMAGE_BASE_RELOCATION pBaseRelocation = NULL;
 
DWORD Size = 0;
	DWORD i = 0;
	DWORD FOA=0;
	DWORD RVA=0;
	DWORD NumberOfRelocationAddress = 0;

	//注意是两字节型的指针
	PWORD pRelocation = NULL;//指向 重定位表中需要重定位的地址 的指针

	
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer ;
	pNtHeader = (PIMAGE_NT_HEADERS32)( (DWORD)pDosHeader + pDosHeader->e_lfanew );
	pFileHeader = (PIMAGE_FILE_HEADER)( (DWORD)pNtHeader + 4);

	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)( (DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER );
	
//	pDataDirectory = (PIMAGE_DATA_DIRECTORY)&pDataDirectory[5];
//	pBaseRelocation = (PIMAGE_BASE_RELOCATION)( (DWORD)pDosHeader + ConvertRvaToFoa(pDataDirectory->VirtualAddress , pFileBuffer));
	
	pDataDirectory = (PIMAGE_DATA_DIRECTORY)pOptionHeader->DataDirectory ;
	pBaseRelocation	= (PIMAGE_BASE_RELOCATION)( (DWORD)pDosHeader + ConvertRvaToFoa( (&pDataDirectory[5])->VirtualAddress , pFileBuffer ) );//第6个目录表(重定位表的目录)的地址,
	
	while(pBaseRelocation->SizeOfBlock && pBaseRelocation->VirtualAddress )
	{
		pRelocation = (PWORD)( (DWORD)pBaseRelocation + IMAGE_SIZEOF_BASE_RELOCATION );//指向重定位表中的地址表
	
		printf("***************************************************************************************\n");
		printf("VirtualAddress :%-10x",pBaseRelocation->VirtualAddress );
		printf("SizeOfBlock :%-10X",pBaseRelocation->SizeOfBlock );
		
		NumberOfRelocationAddress = (pBaseRelocation->SizeOfBlock - IMAGE_SIZEOF_BASE_RELOCATION)/2 ;
		
		printf("NumberOfRelocationAddress :%-10X\n", NumberOfRelocationAddress );

		printf("*********************************************\n");
		printf(" RVA(0x)             Type                FOA                 TrueRelocationAddress\n");

		for(i = NumberOfRelocationAddress ; i>0 ; pRelocation++ ,i-- )//pRelocation++遍历重定位表中的地址表
		{
			RVA = (*pRelocation&0xfff)|pBaseRelocation->VirtualAddress;
			printf(" %-20X", RVA);
			
			printf("%-20X", (*pRelocation&0xf000)>>12 );
			
			FOA = ConvertRvaToFoa(RVA , pFileBuffer);
			printf("%-20X", FOA);

			printf("%-20X\n",*(PDWORD)( (DWORD)pDosHeader + FOA));
		}
		Size +=pBaseRelocation->SizeOfBlock;
		
		pBaseRelocation = (PIMAGE_BASE_RELOCATION)( (DWORD)pBaseRelocation + pBaseRelocation->SizeOfBlock );//遍历重定位表
		printf("\n");

	}

	printf("%x\n",Size);
	printf("%X\n",(&pDataDirectory[5])->Size );

	free(pFileBuffer);
}

(2)移动重定位表

//功能:移动重定位表到新增节
//参数:指向文件内存的指针
//返回值:无
void MoveRelocationTableToNewSection( LPVOID pFileBuffer )
{	
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS32 pNtHeader = NULL;
	PIMAGE_FILE_HEADER pFileHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	
	PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;
	
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer ;
	pNtHeader = (PIMAGE_NT_HEADERS32)( (DWORD)pDosHeader + pDosHeader->e_lfanew );
	pFileHeader = (PIMAGE_FILE_HEADER)( (DWORD)pNtHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)( (DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
	
	pDataDirectory = (PIMAGE_DATA_DIRECTORY)pOptionHeader->DataDirectory;

	//复制重定位表
	memcpy( (PDWORD)( (DWORD)pDosHeader+FileSize) , (PDWORD)( (DWORD)pDosHeader+ ConvertRvaToFoa( (&pDataDirectory[5])->VirtualAddress , pFileBuffer) ) ,(&pDataDirectory[5])->Size );

	//修改指向重定位表的指针
	(&pDataDirectory[5])->VirtualAddress = ConvertFoaToRva( FileSize , pFileBuffer  );

}

(3)模拟重定位表工作

image-20200703160402851

//功能:修正重定位表(先修改ImageBase,再修正重定位表)
//参数:指向该程序被读取到内存的指针
//返回值:无
void AmendRelocationTable( LPVOID pFileBuffer )
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS32 pNtHeader = NULL;
	PIMAGE_FILE_HEADER pFileHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;

	PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;
	PIMAGE_BASE_RELOCATION pBaseRelocation = NULL;
	
	DWORD i =0;
	DWORD ImageBaseOffset = 0;//ImageBase的偏移
	PWORD pRelocation = NULL;

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer ;
	pNtHeader = (PIMAGE_NT_HEADERS32)( (DWORD)pDosHeader + pDosHeader->e_lfanew );
	pFileHeader = (PIMAGE_FILE_HEADER)( (DWORD)pNtHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)( (DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
	
	pDataDirectory = (PIMAGE_DATA_DIRECTORY)pOptionHeader->DataDirectory ;
	
	pBaseRelocation = (PIMAGE_BASE_RELOCATION)( (DWORD)pDosHeader + ConvertRvaToFoa( (&pDataDirectory[5])->VirtualAddress , pFileBuffer)  );
	
	//ImageBase的偏移
	ImageBaseOffset = 0x200000;
	
	//修改ImageBase
	printf("ImageBase :%X\n",pOptionHeader->ImageBase );
	pOptionHeader->ImageBase += ImageBaseOffset;
	printf("Amended,ImageBase :%X\n",pOptionHeader->ImageBase );

	
	while(  pBaseRelocation->VirtualAddress && pBaseRelocation->SizeOfBlock  )
	{
		pRelocation = (PWORD)( (DWORD)pBaseRelocation + IMAGE_SIZEOF_BASE_RELOCATION);
		
		for(i = (pBaseRelocation->SizeOfBlock - IMAGE_SIZEOF_BASE_RELOCATION)/2 ; i>0 ; pRelocation++ ,i--)//遍历重定位表中的地址
			if( (*pRelocation) >>12 )
				*(PDWORD)( (DWORD)pDosHeader + ConvertRvaToFoa( (*pRelocation&0xfff)|pBaseRelocation->VirtualAddress  , pFileBuffer) ) += ImageBaseOffset;

		pBaseRelocation = (PIMAGE_BASE_RELOCATION)( (DWORD)pBaseRelocation + pBaseRelocation->SizeOfBlock );//遍历重定位表
	}
}

可以加我qq一起学习:1245885144😄🤣

C4cke
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构中重定位的分析.rar
01-10
PE文件结构包含了众多的组件和元数据,其中“重定位”(Relocation Table)是关键部分之一,它在程序加载到内存时起着至关重要的作用。这个压缩包文件“PE结构中重定位的分析.rar”似乎提供了关于这个主题的深入...
PE-重定位
qq_51600802的博客
10-27 926
按照上述思路,可写代码打印重定位的信息(不打印具体,但按照上面公式打印具体的数量)但这里注意一个问题,就是遍历这个重定位,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
PE_重定位
个人笔记
04-05 318
重定位概述为什么需要重定位存在?重定位定位重定位IMAGE_BASE_RELOCATION结构结构详解定位实例 概述 加载PE文件到虚拟内存时,EXE默认IMAGEBASE一般为400000,DLL默认IMAGEBASE一般为10000000。 一般情况下,EXE都是可以按照ImageBase的地址进行加载的.因为Exe拥有自己独立的4GB 的虚拟内存空间。 但DLL 不是 DLL是有EXE使用它,才加载到相关EXE的进程空间的。 为了提高搜索的速度,模块间(各个Dll之间)地址也是
PE结构&基址重定位
寻梦&之璐
02-03 8096
重定位定位 重定位为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录中, 重定位所在地址RVA=0x1F000 重定位数据大小=39C RVA转FOA后可以得到文件偏移地址为0x9800 重定位IMAGE_BASE_RELOCATION 与导入类似,重定位指针指向的位置就是一个数组,而不像导出一样只有一个结构,这个数组的每一都是如下结构: IMAGE_BASE_RELOCATION STRUCT VirtualAddress dd ? ;重定位内存页的起始RV
PE文件解析(5):重定位详解
ylh的博客
11-02 1523
1、重定位的作用 重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位的大小可以定位可以确定这个中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位不止
PE重定位
不会写代码的丝丽
04-10 1108
前言 首先看一个问题,假设我们的某个EXE/DLL首选加载地址是0x10000,但实际由于随机基质等原因实际加载地址与首选地址产生的偏移。 我们首先看一个exe的静态反编译结果 我们看到00411E98这个地址的反汇编指令是MOV EAX,[41A014H] 我们再看看动态加载这个EXE后的结果 这个你可以明显看到这个指令变成了eax dword ptr[09FA014h],这个读取地址从41A014H到09FA014h变化。这就是因为基地址实际装载有变化因此需要对于实际地址的命令做出改变。 为了解
pe 文件编程:清除文件头中的重定位.rar_pe_清楚重定位
09-21
综上所述,“清除文件头中的重定位”是一涉及PE文件结构修改的高级技术,它适用于特定的场景和需求。在进行此类操作时,必须充分了解其背后的原理和潜在风险,以免对程序的正常运行造成影响。
PE重定位练习
10-07
PE重定位是一关键的进程加载技术,它涉及到在内存中正确放置代码和数据,以便程序能正常运行。当我们谈论"PE重定位练习"时,这通常是指通过实践来学习如何理解和处理PE文件的内存布局调整。 PE文件由多个部分组成...
重定位修改办法.rar
06-09
1.重定位的修改方法,而不是修改入口点函数,根据相对地址偏移的方法。 2:重定位的内容: 第[0001] 数据的数据为:[0006] 数据属性为:[3] RVA的地址为:[00001006] 重定位的数据:[68264000]; RVA里面的地址...
PE文件重定位信息编辑工具 v1.0 绿色免费版.zip
03-25
PE文件重定位信息编辑工具是一款编程工具类软件,有了它以后,用户在编辑PE文件时就不需要每次都去查看重定位的内容了,非常的方便和实用,喜爱的朋友赶快下载体验吧! 官方介绍 PE文件重定位信息编辑工具是一款...
【逆向】通过新增节移动导出重定位(附完整代码,直接可运行)
最新发布
fzucaicai的博客
10-17 780
但是我之前一直不理解,特么为毛要挪动函数名字符串啊,这玩意不是等dll解密出来就能用了吗? 百思不得其解,去问大佬们,大佬们说的我都听又听不懂,学又学不会。很淦 但是我只能装作听懂的样子,感谢大佬们的赐教,其实我是不懂的,经过一番摸索,我终于悟了! 首先给大家看看用def导出的dll应该怎么使用 首先 ,加了密后,只有使用Dll的时候,dll才会解密,那在dll外想要调用dll
移动导出移动重定位【滴水逆向三期51笔记+作业源码】
WdIg-2023的博客
03-28 415
前面章节我们了解了PE文件中的导出重定位,今天我们来学习如何来移动导出重定位
PE结构之重定位
輚至消亡
09-27 470
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址被应用程序占据了或者被其它的DLL占据了,也是很正常的,这时它就不得不进行重定位了。 哪些数据需要重定位: :00401000 55...
PE-栈与重定位
megaparsec
12-19 345
栈与重定位 栈描述的是代码运行过程中,操作系统为调度程序之间相互调用关系,或临时存放操 作数而设置的一种数据结构。重定位则是在一个PE中的代码被加载到任意一个内存地址 时,用来描述相关操作数地址的变化规律的数据结构。通过重定位技术,代码运行在内存的任意位置时,可以避免因操作数的定位错误而导致失败。 4.1 栈 栈是在程序运行时,操作系 统为调度程序之间相互调用关系或临时存放操作数而设置的一种数据结构。事实上,栈就是 内存的一块域。因为在这块区域中存取数据遵循一定的规则,所以就叫做数据结构。 栈遵循的规则
移动重定位模拟windows重定位过程
weixin_43990313的博客
07-20 361
移动重定位 思路 大体上和移动导出相同,相比而言简单一些,不用寻址三个。直接复制重定位的内容即可。可以参照我写的移动导出的那一篇博文。 代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer) { DWORD FOA = NULL; PIMAGE_DOS_HEADER pDosHeader
滴水三期:day38.1-移动导出重定位
Edimade的博客
04-12 528
一、为什么要移动各种> 二、移动导出(1.步骤说明 > 2.代码编写)三、移动重定位(1.步骤说明 > 2.代码编写)四、修复重定位(1.应用场景 > 2.代码编写)
滴水逆向三期 PE基础 移动重定位与修改IMAGEBASE
四位的博客
05-16 1863
分析 一 移动重定位 直接把整张复制后修改目录的RVA即可 二 修改ImageBase ①首先当然是修改ImageBase ②遍历重定位中的数据加上新旧ImageBase的差值, 就是在打印的基础上加上修改数据 重定位的结构 SECTION为所属区段, RVA为大, items为有多少数据(SizeofBlock-8)/2 因为小为word RVA为要修改数据的地址(非真实地址) offset为文件偏移 type为数据属性 FarAddress为真正的地址也是修改imagebase后应该修改
滴水逆向三期实践14:移动重定位
Rivival_S 的博客
10-28 653
重定位移动相比导出就简单太多了,因为重定位相当于只有一个大。统计一下这个“大”的大小,全部移动到新节就行了。因为是使用下一块 VirtualAddress 和 SizeOfBlock是否全0来判断重定位是否结束的,所以拷贝的时候也把这8字节的全0内容也加上一起拷贝进新节。 最后修改数据目录中的 VirtualAddress指向新节 RVA 即可。 代码有详细注释 #include "Currency.h" #include "windows.h" #include "st...
手工解析PE(将重定位移动到新增节中)
GNAIXGNAHZ的博客
07-03 250
手工解析PE(将重定位移动到新增节中)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值