从可执行文件中删除.reloc节区

最新推荐文章于 2022-06-08 07:45:56 发布
最新推荐文章于 2022-06-08 07:45:56 发布
阅读量695 收藏
点赞数
分类专栏: 逆向 文章标签: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39249347/article/details/108006306
版权
  1. .reloc节区
  • EXE形式的PE文件中,“基址重定位表”项对运行没有什么影响,实际上,将其删除后程序仍能正常运行。
  • VC++中生成的PE文件的重定位节区名为.reloc,删除该节区后文件照常运行,且文件大小将缩减,.reloc节区一般位于所有节区的最后。
  1. 若要删除位于文件末尾的.reloc节区,需要按照以下4个步骤操作:
  • 整理.reloc节区头
  • 删除.reloc节区
  • 修改IMAGE_FILE_HEADER
  • 修改IMAGE_OPTIONAL_HEADER
  1. 删除.reloc节区头
    在这里插入图片描述
  • 可以看到.reloc节区头从文件偏移270处开始,大小为28,使用Hex Editor打开该区域,全部用0覆盖填充。
    在这里插入图片描述
  1. 删除.reloc节区
  • 文件中.reloc节区的起始偏移为C000,从C000偏移开始一直使用Hex Editor删除到文件末尾所有数据。
    在这里插入图片描述
  1. 修改IMAGE_FILE_HEADER
  • 修改IMAGE_FILE_HEADER的Number of Sections项,将5改成4
    在这里插入图片描述
    在这里插入图片描述
  1. 修改IMAGE_OPTIONAL_HEADER
  • 删除.reloc节区后,整个映射就随之减少相应大小,映射大小值存储在IMAGE_OPTIONAL_HEADER-size of Image中,需要对其修改。
    在这里插入图片描述
  • .reloc节区的VirtualSize值为E40,将其根据Section Alignment拓展后编程1000,所以应该从Size of Image减去1000才正确。
    在这里插入图片描述
  • 修改后reloc.exe文件就能够正常运行了。
云袖er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE 文件.reloc删除记录
ez scope
04-02 2618
PE文件是windows 下的一种可移植执行体,其设计目的使用来解决跨平台问题(但实际上只是在windows下使用)。通常在windows下使用的.exe .dll .sys等文件都是PE文件,符合PE文件格式规范,有其自身的格式。不熟悉的朋友也可以网上查找相关资料。 PE文件的.reloc 节 即是使用了PE重定位技术。PE加载到进程虚拟地址时,会加载到PE的IMAGE_OPTIONAL_H
如何删除基址的重定位表----记一次对RAR软件的基址重定位删除实践
12-29 304
工具: 1.PETool 2.HxD 步骤: 1.PE查看rar程序的结构: 重定位的具体信息如下: 2.删除.reloc节区头 从地址278开始,删除到29c+3 这部分清零。 3.删除.reloc节区 ...
PE格式系列_0x05:输出表和重定位表(.reloc)
可乐松子的博客
06-08 744
输出表简单理解就是一个表格,记录输出函数的信息 流程:PE装载器访问PE文件输出表时,通过获取一个函数的地址,通过获取一个函数的名称,但是此时还没有建立对应关系,通过来建立名称和地址的联系示例1:DllDemo只有一个导出函数MsgBox 使用PE工具查看输出表示例2:kernel32.dll的输出表汇总查看 2.基址重定位表 通常重定位表只有dll文件和开了ASLR的exe才需要关心,因为此时不能保证加载时默认的装载地址不会被其他模块占用简单理解,对于PE加载器来说,他不关心需要修正的地址的具体用途,只
可执行文件手动删除.reloc
极深研几
12-07 1533
1.整理reloc节区头 2.删除.reloc节区
reloc.exe
11-11
reloc.exe
Linux 可执行文件格式详细文档
03-01
在Linux操作系统可执行文件采用的是可执行与可链接格式(Executable and Linkable Format, ELF),这是一种广泛使用的文件格式标准,用于定义如何组织和存储程序代码及数据。ELF格式不仅适用于可执行文件,还...
飞思卡尔Codewarrior的.prm_文件
11-21
这个文件对项目的编译和链接过程有着直接影响,确保了代码和数据正确地放置在微控制器的存储器,包括RAM、ROM和特殊功能寄存器区。下面将深入探讨`.prm`文件的各个组成部分: #### 1. **文件头注释** 在`.prm`...
安卓6.0串口库文件libserial_port.so
03-29
官方提供的android-serialport-api-master包,无法兼容安卓6.0平台开发,打开串口直接停止运行。覆盖库文件后问题完美解决,亲测可用。
Windows 文件分析器.zip
07-05
从描述我们没有获取到更多具体信息,但考虑到标签是“pe”,这可能意味着该工具专注于处理PE(Portable Executable)文件格式,这是Windows操作系统用于可执行文件的标准格式。 PE文件格式包括可执行程序、动态...
可执行文件删除.reloc字节
weixin_43939527的博客
03-12 679
1、.reloc节区 EXE形式的PE文件,“基址重定位表”项对运行没什么影响,将其删除后程序仍能正常运行(基址重定位表对DLL/SYS形式的文件来说几乎是必需的)。 基址重定位表: 在PE文件,基址重定位表一般放在一个单独的 “.reloc” 区,可以通过IMAGE_OPTIONAL_HEADER 的DataDirectory[5] 查看基址重定位表 的RVA。 在PEview查看no...
写一个PE的壳_Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc
可乐松子的博客
05-26 3539
文章目录Part 2:输入表和重定位表1.ASLR预备知识2.输入表支持detail 1:什么是输入表?detail 2:PE Header描述detail 3:真实的输入表detail 4:编程处理数据结构编程实现扩展:LIEF重建Import Table介绍3.管理重定位表detail 1:什么是重定位表?detail 2:重定位表结构detail 3:编程处理4.结果展示5.参考 Part 2:输入表和重定位表 本文主要处理Part 1遗留的2张表:输入表和重定位表(执行一个ASLR使能的文件不
windows PE Image 文件分析(6)--- .reloc 节与 base relocation table
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-11 3123
.reloc 节和 base relocation table 仅存在于 Image 文件,用于当映像被加载运行的 ImageBase 改变后,对映像内的使用的地址进行重定位。 需要进行 ImageBase 重定位的映像性能会变得很糟糕。32 位的应用程序在 64 位系统上运行就是一个典型的例子。 下面以前面的 32 位 helloworld.exe 映像为例子   1. ImageBa
pe文件节区删除和增加
m0_62690279的博客
04-10 1448
pe文件节区删除和增加 节区(.reloc)的删除(按照《逆核》书的步骤来进行) 整个过程需要四个步骤: 1.删除节区头 2.删除节区 3.修改节区数(number of section) 4.修改映像大小(size of image) 删除节区头 在hxd找到rva从270到297区域,用0填充 删除节区内容 在hxd找到poiner to raw data(磁盘地址c000),删除其后面的所有内容 修改节区数量 找到文件头的 number of section 同样在hxd修改其
逆向笔记【贰】
huhu2017的专栏
02-28 1430
一、PE文件各区段解释(区段名称跟功能没有必然关系,这里只是说明常见的定义): .code或.text段:存放程序的代码数据。.data段:存放程序运行使用的数据。.rdata或.idata段:程序的导入表数据。.edata段:程序的导出表所在的节。.rsrc段 :程序资源节,为多层的二叉排序树,节点指向PE文件的各种类型资源(图标、对话框、菜单等)。.reloc段:重定位表所在的节,当程序
windows程序逆向笔记(一)
xiaotu0821的博客
12-16 1736
1.吾爱破解 l 按钮-程序运行的日志、插件加载的信息查看 e 按钮-模块信息,程序加载的所有模块、库 都可以看到路径等 双击就可以看到基地址 m 按钮-内存信息 对于 e按钮 的各个模块的基地址等 t 按钮-线程信息 w 按钮-窗口信息 h 按钮- 一些句柄的信息 c 按钮-反汇编窗口 或者双击 从寄存器的 EIP shift+加号回到之前的位置 p 按钮-记录修改信息 可以在这做还...
DLL引入表重定位 .reloc
haungrui的专栏,水底深呼吸
03-27 4255
   前几天日,在做彩虹显IP补丁程序的时候,需要将原格式化字符串从"%d.%d.*.*"修改成"%d.%d.%d.%d"以使其能显示完整的IP,在补丁代码需要引用该字符串,于是直接从原代码copy了一段引用该字符串的代码。头几天还能正常工作,不知什么原因程序突然无法运行了,打开调试器跟踪才发现问题就出在对字符串的引用上,模块载入后的基址与前几天相比发生了改变,补丁对字符串的引用指向了一个无
重定向--reloc连接参数
LOTOOHE的博客
11-04 522
import com.google.firebase.crashlytics.buildtools.reloc.org.apache.http.client.methods.HttpPost;失败
最新发布
05-04
这是因为 `org.apache.http.client.methods.HttpPost` 类已经被弃用了,不再建议使用。相反,您应该使用 `java.net.http.HttpClient` 和 `java.net.http.HttpRequest` 来发送 HTTP 请求。您可以尝试将以下代码添加到您的项目,以使用新的 HTTP 客户端发送 POST 请求: ```java import java.net.URI; import java.net.http.HttpClient; import java.net.http.HttpRequest; import java.net.http.HttpResponse; import java.net.http.HttpResponse.BodyHandlers; public class Example { public static void main(String[] args) throws Exception { HttpClient client = HttpClient.newHttpClient(); HttpRequest request = HttpRequest.newBuilder() .uri(URI.create("https://example.com/api")) .header("Content-Type", "application/json") .POST(HttpRequest.BodyPublishers.ofString("Your JSON payload here")) .build(); HttpResponse<String> response = client.send(request, BodyHandlers.ofString()); System.out.println(response.statusCode()); System.out.println(response.body()); } } ``` 请注意,此代码需要 Java 11 或更高版本才能运行。如果您使用的是旧版本的 Java,请尝试使用其他 HTTP 客户端库,例如 Apache HttpClient。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值