滴水逆向三期实践12:进程4GB空间,重定位表

最新推荐文章于 2023-04-01 21:14:33 发布
最新推荐文章于 2023-04-01 21:14:33 发布
阅读量722 收藏 4
点赞数
分类专栏: 滴水逆向三期 文章标签: 重定位表 重定向表 逆向 PE RELOCATION
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39805477/article/details/121021174
版权

1,进程 4GB空间

双击一个exe 就打开了一个进程,相应的会有属于这个进程的独立的 4GB 空间,当然这个空间是虚拟的,假的相当于游戏中玩家前进生成新地图,身后删除地图,移动起来相当于有一个很大的世界。即用到的地方按需分配,就是进程的4GB空间。具体由操作系统调度。和实际物理内存不是一个概念。

低2G为用户空间,前后64K不会被分配,0-FFFF用于做各种无效检查(空指针就只向这里)

64K  7FFF0000 - 8000000 用来做内核的交互。高2G空间是内核使用的。

由主模块 exe 加若干辅助模块 dll 组成(exe会调用一些 dll ,调用的dll 又会再调用其他 dll),来填充这近 2GB 的空间。

因为打开的是该exe进程,则这块空间最先由 exe 占第一块空间。所以一般情况下,EXE都是可以按照 ImageBase 的地址进行加载的。而 ImageBase 通常是 400000H。但DLL不是  DLL是有EXE或其他 DLL使用它,它才加载到相关EXE的进程空间的。

为了提高搜索的速度,模块间地址也是要对齐的 模块地址对齐为10000H 也就是64K

2,重定位表

而打开一个程序,观察一下全局变量的反汇编 

1、也就是说,当时程序编译的时候写的就是绝对地址,而非相对地址!所以该程序往4GB空间加载时的位置如果不是文件中的 ImageBase,也就是说没占住原先设定的起始位置,那么上面写的绝对地址,肯定出大问题的。所以,重定位表,就是为解决这个绝对地址的问题而生的

2、如果程序能够按照预定的 ImageBase 来加载的话,那么就不需要重定位表
这也是为什么 exe 很少有重定位表,而 DLL 大多都有重定位表的原因(DLL通常不能按照设想的 ImageBase 作起始加载位置,因为不同exe加载DLL顺序不同,可能这个DLL设定的 ImageBase 位置被其他DLL占了)

3、一旦某个模块没有按照 ImageBase 进行加载,那么所有类似上面中的地址就都需要修正,否则,引用的地址就是无效的.

3、一个EXE中,需要修正的地方会很多,那我们如何来记录都有哪些地方需要修正呢?

   答案就是重定位表

3,重定位表的定位

数据目录项的第6个结构,就是重定位表.

通过 IMAGE_DATA_DIRECTORY(数据目录)第六个结构的VirtualAddress 属性 找到第一个IMAGE_BASE_RELOCATION 结构

重定位表只有上述这个 IMAGE_BASE_RELOCATION 结构若干个,这两个字段后面还接有一大块表数据,为图中的“具体项”,如下图:

 按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的

#include "Currency.h"
#include "windows.h"
#include "stdio.h"

VOID h325()		//打印重定向表所有内容
{
	char FilePath[] = "Dll1.dll";	//CRACKME.EXE        CrackHead.exe     Dll1.dll		R.DLL	LoadDll.dll
	LPVOID pFileBuffer = NULL;				//会被函数改变的 函数输出之一
	LPVOID* ppFileBuffer = &pFileBuffer;	//传进函数的形参
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = NULL;
	PIMAGE_BASE_RELOCATION pRelocationTable = NULL;
	DWORD nameFOA = NULL;
	DWORD AddressOfNamesFOA = NULL;

	if (!ReadPEFile(FilePath, ppFileBuffer))
	{
		printf("文件读取失败\n");
		return;
	}
	//Dos头
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;	// 强转 DOS_HEADER 结构体指针
	//可选PE头	  简化后的处理
	pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileBuffer + pDosHeader->e_lfanew + 4 + IMAGE_SIZEOF_FILE_HEADER);
	//重定向表
	pRelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)pFileBuffer + RVA2FOA(pFileBuffer, pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress));
	printf("RelocationTable VirtualAddress:%x\n", pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
	if (!pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress)
	{
		printf("该文件没有重定向表!\n");
		return;
	}
	int i = 1;
	while ( pRelocationTable->VirtualAddress && pRelocationTable->SizeOfBlock)
	{
		printf("第%d个块VirtualAddress:%x\n", i, pRelocationTable->VirtualAddress);
		printf("第%d个块SizeOfBlock:%x\n", i,pRelocationTable->SizeOfBlock);
		printf("第%d个块项数:%d\n", i, (pRelocationTable->SizeOfBlock - 8)/2);
		pRelocationTable = (PIMAGE_BASE_RELOCATION)(pRelocationTable->SizeOfBlock + (DWORD)pRelocationTable);
		i++;
	}
}

 可得结果如下:

 结果可用 CFF Explorer 对照是否正确

 

Revival_S
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向——PE重定位打印
sunr.
04-12 738
1.程序加载过程: 2.重定位: 3.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox...
进程4GB内存
zhizhiwen的专栏
03-06 514
所谓系统给每个程序 4G, 是给 4G 的 "虚拟的地址", 绝不是真实的内存, 不然一个记事本、一个计算器就得需要 8G.这个 "虚拟的地址" 在有些书上叫 "虚地址"、"页映射" 或 "虚内存地址", 也有叫 "虚拟内存地址", 很容易和 "虚拟内存" 的概念混淆.这个 "虚拟的地址" 上有 4G 个(4294967296 个)地址(0 - $FFFFFFFF), 虽然每个程序都有这
滴水三期逆向基础系列(五)-解析重定位
henuyl的博客
04-28 393
很简单,直接贴代码吧 主要要注意RVA转FOA!!! VOID ReturnAllRelocation( IN LPVOID pFileBuffer ){ if(pFileBuffer == NULL){ return; } PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS64 inh = NULL; PIMAGE_OPTI...
进程4G虚拟内存空间的分配
caihouhui的博客
11-13 3976
通常我们常说的4G/8G内存是指计算机硬件的内存条是4G/8G,而不是我们今天所谈论的进程4G虚拟的内存。 当一个程序运行时,系统会为每一个进程分配一个4G的虚拟内存空间,用来保存进程运行所需要的各种资源(详细资源列后面会谈到),并创建task_struct进程控制块,保存进程的属性(进程ID、父进程进程状态、使用的寄存器等)。 接下来聊一聊4G的虚拟内存是如何分配的: 4G---...
用户进程共享3~4G内核地址空间---Linux内核笔记
阿木的专栏
01-01 3108
首先要说明的一点是:Linux在内核态运行时(中断生生或系统调用发生后进入内核态),使用的是当前进程的页目录,这样做的好处是不用频繁的切换页目录,防止频繁刷新TLB,提高效率。每个用户进程有自己独立的0~3G地址空间,共享3~4G地址空间,也就是说每个进程的前768项是独立的,后面的256项全部进程共享。中断发生或系统调用后,进程陷入内核态,这时候需要使用3G~4G的内核地址空间,那么内核是在
我的内存谁也没动:4GB内存终极解迷
11-26
我的内存谁也没动:4GB内存终极解迷.pdf
为DS40MB200双通道4Gb/s多路复用器/缓冲器设定预加重电平
11-08
 DS40MB200是为支持冗余心脏将铀线背板信号速率扩展到4Gb/s而专门设计的一款双通道2:1多路复用器和1:2扇 出中继器。DS40MB200的输入均衡和输出预加重使其能够补偿衰减失真和降低由于带宽受限传输线所造成的确定性...
AIX用裸设备添加空间(oracle 扩空间
08-08
10. **验证和测试**:创建空间后,可以通过查询数据字典视图如`DBA_DATA_FILES`来验证新空间是否已成功添加,并进行必要的性能测试以确保一切正常运行。 在实际操作中,可能还需要考虑数据迁移、备份策略、性能...
扩展空间
07-19
例如,想将空间的大小从 1GB 扩展到 4GB,可以使用以下语句: ```sql alter database datafile 'e:\oracle\oradata\esps_2008.dba' resize 4000m; ``` 此外,还可以使用其他方式来扩展空间的尺寸,例如:增加...
AIX用裸设备扩数据库空间以及裸设备的疑问
10-13
在本案例中,我们将讨论如何使用裸设备扩展数据库的空间,以及在AIX环境下处理裸设备的一些疑问。 首先,创建和管理裸设备通常涉及到以下几个步骤: 1. 物理卷(Physical Volume, PV):这是存储的基础,由实际...
进程加载_END.rar
06-24
滴水三期进程加载壳项目代码。没写出来的可以参考下。
EXE文件结构及其重定位过程
06-14
详细说明了exe文件结构及dos加载exe文件的过程。对其中的步骤进行了一步步的说明,是难得的好文章(我花钱买的)。 发现好多人回复说看不懂,于是我按照这个文档写了一个实现(微型的实模式操作系统),可以用来加载简单的 dos 程序: http://machinelife.org/work/IronOS/IronOS.tar.gz 在源码的 kernel.asm 里找 relocation 标号,有 exe 文件加载,重定位,执行的汇编指令。我加载了 dos 时代的几个游戏玩了玩 :D
关于进程4GB虚拟地址空间概念的理解
sjtu_huang的专栏
11-26 2837
<br />     每个进程4GB的虚拟内存空间,这是一个概念上的东西,并不是实际上的分配。<br />当程序启动并加载到内存中时,这里的“内存”指的是虚拟内存,它由两部分组成:硬盘上的页交换文件和实际的物理内存。<br />     从运行的程序自身来看,程序中包含的代码和数据可以存放在0~4GB进程空间中的任何一个地址上,而这个地址的值将由操作系统进行换算,并映射到实际的物理地址值上(包括硬盘上,或物理内存)中;其中,对于需要运行的程序的指令和数据将传入物理内存,而对于暂时不用的指令和数据,操作系
关于进程虚拟地址为什么是4G的讨论
u013370834的博客
11-02 3090
重点: 因为我们平时用的机器一般是32位的,32位地址线能索引的最大内存量是4G,所以分配给进程的虚拟地址都是4G,而64位的这个值应该是4G个4G! 1、什么叫进程 当程序安静地躺在硬盘上时,它是一个“文件”,非要给点区别的话,它是一个“可执行文件”;而当程序运行起来,它就从硬盘上一跃进入内存,这时它就被叫做一个“进程/process”了。 2、什么叫进程 或许有些读者想打开机
滴水逆向三期15611 进程通信 项目练习
四位的博客
01-10 1419
进程通信联系概要步骤进程通信为什么要进程通信命名管道dll 无模块注入为什么必须是dllshellcode 注入模块注入shellcode 部分Extract代码 概要 最终效果 创建进程通信 通信测试 IATHOOK 剪切板内容 inlineHook 创建进程 文章分如下几部分 步骤 进程通信 dll注入 问题总结 本篇文章不是一个实现过程, 而是一个关于这个项目的一个总结, 包含了比较多外链, 帮助更好的理解. 步骤 实现进程通信 无模块注入dll hook 进程通信
4G虚拟地址空间
weixin_45009662的博客
08-25 620
虚拟地址空间分布 对于每一个进程都会对应一个虚拟地址空间,对于32位的操作系统(其指令的位数最大为32位,因此地址码最多32位),虚拟地址空间的大小为2^{32}B即0~4GB的虚拟地址空间,其中内核空间为1GB,其他的3G属于用户空间如下所示: 0~3G的用户空间。从小到大(从下往上)依次为:保留区(受保护的地址)、代码段、数据段(.data段)、.bss段、堆空间、内存映射段、栈空间、命令行参数和环境变量。下面依次对每一个段做简单的介绍: 首先是用户空间: ①:128M大小的不可访问区域(保留区) 我
导入解析,IAT解析【滴水逆向三期53笔记】
最新发布
WdIg-2023的博客
04-01 854
我们再上一章节简要介绍了IAT,我们知道如果程序调用dll中的函数时,必须通过IAT来找到函数,我们基本了解了IAT之后,我们今天来讲解一下导入,通过本章节的学习,我们可以了解导入,也能对IAT有一个更深入的了解。
虚拟内存与物理内存(滴水
若面朝大海边竹妮春暖花开的博客
03-29 250
每个进程都有自己的4GB内存空间,内存地址为0-FFFFFFFF。这个内存不是真正的物理内存,是操作系统分配给进程的虚拟地址 但当我们在进程内存中写入值的时候值会保存下来,这个值保存在物理内存中,当虚拟内存真正使用的时候,操作系统才会在物理内存中分配内存存储数据 INTEL x86架构中物理内存按照4KB的方式来分配的,把所有物理内存按照4KB大小分成一页一页的,所以把物理内存称为页式管理 物理内...
Linux进程虚拟地址空间
金荣的个人技术博客
08-31 1247
提及Linux的内存虚拟地址空间,还要从程序说起。我们编写好一个应用程序时,以C程序为例,经过预处理、编译、汇编、链接后,生成Linux中的可执行文件ELF文件。当我们运行可执行文件时,进程就出现了,可以理解为进程就是运行中的程序。在32位Linux系统中,每个进程都有4GB的虚拟地址空间,其中0-3GB是用户空间,3-4GB是内核空间。每个进程都以为自己独占整个4GB的地址空间,但实际上1GB的内核空间是所有进程共享的,独占的3GB用户空间也只是虚拟的。 那么进程的虚拟地址空间是怎么管理的呢? 我们知道,
oracle教程10管理空间和数据文件.ppt
11-12
Oracle教程10管理空间和数据文件是针对Oracle数据库管理系统中的核心概念进行深入讲解的课程。空间是Oracle数据库中用于组织逻辑数据存储的物理结构,它们将数据和索引划分为逻辑和物理层次。本教程的重点在于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值