1,进程 4GB空间
双击一个exe 就打开了一个进程,相应的会有属于这个进程的独立的 4GB 空间,当然这个空间是虚拟的,假的。相当于游戏中玩家前进生成新地图,身后删除地图,移动起来相当于有一个很大的世界。即用到的地方按需分配,就是进程的4GB空间。具体由操作系统调度。和实际物理内存不是一个概念。
低2G为用户空间,前后64K不会被分配,0-FFFF用于做各种无效检查(空指针就只向这里)
后64K 7FFF0000 - 8000000 用来做内核的交互。高2G空间是内核使用的。
由主模块 exe 加若干辅助模块 dll 组成(exe会调用一些 dll ,调用的dll 又会再调用其他 dll),来填充这近 2GB 的空间。
因为打开的是该exe进程,则这块空间最先由 exe 占第一块空间。所以一般情况下,EXE都是可以按照 ImageBase 的地址进行加载的。而 ImageBase 通常是 400000H。但DLL不是 DLL是有EXE或其他 DLL使用它,它才加载到相关EXE的进程空间的。
为了提高搜索的速度,模块间地址也是要对齐的 模块地址对齐为10000H 也就是64K
2,重定位表
而打开一个程序,观察一下全局变量的反汇编
1、也就是说,当时程序编译的时候写的就是绝对地址,而非相对地址!所以该程序往4GB空间加载时的位置如果不是文件中的 ImageBase,也就是说没占住原先设定的起始位置,那么上面写的绝对地址,肯定出大问题的。所以,重定位表,就是为解决这个绝对地址的问题而生的
2、如果程序能够按照预定的 ImageBase 来加载的话,那么就不需要重定位表
这也是为什么 exe 很少有重定位表,而 DLL 大多都有重定位表的原因(DLL通常不能按照设想的 ImageBase 作起始加载位置,因为不同exe加载DLL顺序不同,可能这个DLL设定的 ImageBase 位置被其他DLL占了)
3、一旦某个模块没有按照 ImageBase 进行加载,那么所有类似上面中的地址就都需要修正,否则,引用的地址就是无效的.
3、一个EXE中,需要修正的地方会很多,那我们如何来记录都有哪些地方需要修正呢?
答案就是重定位表
3,重定位表的定位
数据目录项的第6个结构,就是重定位表.
通过 IMAGE_DATA_DIRECTORY(数据目录)第六个结构的VirtualAddress 属性 找到第一个IMAGE_BASE_RELOCATION 结构
重定位表只有上述这个 IMAGE_BASE_RELOCATION 结构若干个,这两个字段后面还接有一大块表数据,为图中的“具体项”,如下图:
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的
#include "Currency.h"
#include "windows.h"
#include "stdio.h"
VOID h325() //打印重定向表所有内容
{
char FilePath[] = "Dll1.dll"; //CRACKME.EXE CrackHead.exe Dll1.dll R.DLL LoadDll.dll
LPVOID pFileBuffer = NULL; //会被函数改变的 函数输出之一
LPVOID* ppFileBuffer = &pFileBuffer; //传进函数的形参
PIMAGE_DOS_HEADER pDosHeader = NULL;
PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = NULL;
PIMAGE_BASE_RELOCATION pRelocationTable = NULL;
DWORD nameFOA = NULL;
DWORD AddressOfNamesFOA = NULL;
if (!ReadPEFile(FilePath, ppFileBuffer))
{
printf("文件读取失败\n");
return;
}
//Dos头
pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer; // 强转 DOS_HEADER 结构体指针
//可选PE头 简化后的处理
pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileBuffer + pDosHeader->e_lfanew + 4 + IMAGE_SIZEOF_FILE_HEADER);
//重定向表
pRelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)pFileBuffer + RVA2FOA(pFileBuffer, pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress));
printf("RelocationTable VirtualAddress:%x\n", pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
if (!pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress)
{
printf("该文件没有重定向表!\n");
return;
}
int i = 1;
while ( pRelocationTable->VirtualAddress && pRelocationTable->SizeOfBlock)
{
printf("第%d个块VirtualAddress:%x\n", i, pRelocationTable->VirtualAddress);
printf("第%d个块SizeOfBlock:%x\n", i,pRelocationTable->SizeOfBlock);
printf("第%d个块项数:%d\n", i, (pRelocationTable->SizeOfBlock - 8)/2);
pRelocationTable = (PIMAGE_BASE_RELOCATION)(pRelocationTable->SizeOfBlock + (DWORD)pRelocationTable);
i++;
}
}
可得结果如下:
结果可用 CFF Explorer 对照是否正确