PE文件格式学习(八):基址重定位表(BaseRelocationTable)

最新推荐文章于 2024-07-13 22:55:30 发布
最新推荐文章于 2024-07-13 22:55:30 发布
阅读量1.4k 收藏 8
点赞数
分类专栏: Windows逆向 文章标签: PE 基址重定位表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tutucoo/article/details/83828713
版权

1.简介

基址重定位表位于数据目录表中的第六个,它位于安全表的后面。

这个表的作用用来索引那些需要重定位的数据。程序的加载基址一般是0x400000,但是程序导入了众多的DLL,这些DLL的默认加载基址一般都是0x10000000,这就出现了一个问题,当第一个DLL加载到0x10000000处,第二个DLL就无法再加载到0x10000000处了,这时系统会自动分配一个加载基址给DLL文件。这就是需要重定位的根本原因,因为DLL的载入基址变了,有些绝对地址上的变量又不再正确了,需要进行重新定位。

重定位表中的项就是用来索引到需要重定位的数据处,通过一个公式计算出修复后的地址,数据就可以正确被访问了。

2.重定位表的解析

通过数据目录表查看到重定位表的RVA是5000h,转换成offset为0x1a00,我们找到0x1a00处:

我们对比重定位表的结构体来分析:

typedef struct _IMAGE_BASE_RELOCATION
{
    DWORD VirtualAddress;
    DWORD SizeOfBlock;
    WORD TypeOffset[1];
}IMAGE_BASE_RELOCATION;

需要首先进行说明的是,重定位表的RVA指向的位置是一个数组,里面的元素都是IMAGE_BASE_RELOCATION,每个IMAGE_BASE_RELOCATION只负责4KB大小分页内的重定位信息。因此结构中的VirtualAddress总是0x1000的倍数。

VirtualAddress:需要重定位的数据的RVA,这个值需要加上后面的TypeOffset的低12位才是需要重定位数据的RVA,这么说可能不好理解,我们用本文使用到的程序作为例子,这是它的一部分汇编代码:

Offset        HEX          Assembly
10001000      55           push ebp
10001001      8BEC         mov ebp,esp
10001003      6AFE         push 0xFFFFFFFF
10001005      68 10220010  push 0x10002210

程序的ImageBase是0x10000000,VirtualAddress是0x1000,后面要提到的TypeOffset的低12位是0x006,有如下公式成立:

需要重定位的数据位置 = ImageBase + VirtualAddress + TypeOffset低12= 0x10000000 + 0x1000 + 0x006

这里计算得到的最终需要重定位的数据地址是0x10001006,我们注意看上面的代码,0x10001005处是push 0x10002210,也就是说push后面的地址0x10002210需要进行重定位。

假设有一个dll实际加载到了0x72ab0000,它的ImageBase却是0x10000000,系统会通过下面的公式进行重定位

重定位后地址 = (真实加载基址-默认加载基址) + 需要进行重定位的地址
					  = (0x72ab0000 - 0x10000000) + 0x10002210

SizeOfBlock:整个重定位表的大小,IMAGE_BASE_RELOCATION结构的总大小,对应上图中的0x118,实际上本文用到的程序有两个IMAGE_BASE_RELOCATION结构,它们的大小分别是0x118和0x24,合起来是0x13c,正好是数据目录表中标记的值。

TypeOffset:重定位的偏移,这个值加上IMAGE_BASE_RELOCATION中的VirtualAddress就是完整的RVA了,这个字段实际上并不属于IMAGE_BASE_RELOCATION结构体,但SizeOfBlock字段记录的大小包含了这个结构体,这个结构体通常有多个,按顺序进行排列,最后以0x0000作为结尾,结构体本身占2个字节,结构体如下:

struct
{
    WORD Offset:12; 
    WORD Type:4; 
}TypeOffset;

Offset:低12位,上面介绍过,它跟VirtualAddress相加就是完整的重定位RVA


Type:重定位信息的类型,有如下类型: 
#define IMAGE_REL_BASED_ABSOLUTE              0
#define IMAGE_REL_BASED_HIGH                  1
#define IMAGE_REL_BASED_LOW                   2
#define IMAGE_REL_BASED_HIGHLOW               3
#define IMAGE_REL_BASED_HIGHADJ               4
#define IMAGE_REL_BASED_MACHINE_SPECIFIC_5    5
#define IMAGE_REL_BASED_RESERVED              6
#define IMAGE_REL_BASED_MACHINE_SPECIFIC_7    7
#define IMAGE_REL_BASED_MACHINE_SPECIFIC_8    8
#define IMAGE_REL_BASED_MACHINE_SPECIFIC_9    9
#define IMAGE_REL_BASED_DIR64                 10
信息宏定义
0无重定位操作,用于4字节对齐IMAGE_REL_BASED_ABSOLUTE
1重定位指向位置的高2个字节需要被修正IMAGE_REL_BASED_HIGH
2重定位指向位置的低2个字节需要被修正IMAGE_REL_BASED_LOW
3重定位指向位置的全部4个字节需要被修正(绝大多数都是这种情况)IMAGE_REL_BASED_HIGHLOW
4需要两个TypeOffset配合完成索引IMAGE_REL_BASED_HIGHADJ
5IMAGE_REL_BASED_MACHINE_SPECIFIC_5
6保留IMAGE_REL_BASED_RESERVED
7IMAGE_REL_BASED_MACHINE_SPECIFIC_7
8IMAGE_REL_BASED_MACHINE_SPECIFIC_8
9IMAGE_REL_BASED_MACHINE_SPECIFIC_9
10重定位指向位置的8个字节需要被修正IMAGE_REL_BASED_DIR64

重定位表中记录的重定位信息的个数可以通过下面的公式进行计算:

重定位个数 = (SizeOfBlock - 8(IMAGE_BASE_RELOCATION的大小)) / 2(每个TypeOffset是2个字节)
总重定位个数 = 所有IMAGE_BASE_RELOCATION结构体相加后的重定位个数

因为数据目录表中记录的重定位表的大小是0x13c,而第一个IMAGE_BASE_RELOCATION只占用了0x118,所以应该还有其他的IMAGE_BASE_RELOCATION,通过0x1a00+0x118得到0x1b18,我们可以看到这个位置是另一个IMAGE_BASE_RELOCATION的起始,它的VirtualAddress是0x2000,它的SizeOfBlock是0x0024,通过将这两个IMAGE_BASE_RELOCATION的SizeOfBlock相加正好等于0x13c,通过计算第二个IMAGE_BASE_RELOCATION内的重定位个数是(0x24-8)/2=0xe,所以最终分析出来这个重定位表包括了两个IMAGE_BASE_RELOCATION,此程序一共有0x88+0xe个地方需要进行重定位修复。

tutucoo
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基址重定位
Mi1k7ea
06-09 1901
基址重定位Base Relocation Table),记录PE重定位时需要修改的硬编码地址的位置。一般地,向进程的虚拟内存加载PE文件(EXE、DLL、SYS)时,文件会被加载到PE头的ImageBase所指的地址处。若加载的文件为DLL或SYS,且ImageBase位置加载了其他DLL或SYS文件时,则会进行PE重定位PE重定位是指PE文件无法加载到ImageBase所指位置时,而加载到...
PE文件:重定位(为什么需要重定位和如何重定位
weixin_43742894的博客
03-31 1255
**为什么重定位?** 重定位就是修正PE文件的地址。 PE文件有着默认的基址(ImageBase默认为0x40000000),理论上当PE要加载的时候,就会占据这个地址,但是当这个地址因为一些原因,被占用而不能被加载时,PE文件就被加载到其他地方了,这时候就需要基址重定位了。
PE文件(十)重定位
最新发布
2301_78838647的博客
07-13 915
重定位的引入程序加载过程在win32下,每一个PE文件(其可能由多个子PE文件组成)在运行时,操作系统会给分配一个独立的4GB虚拟内存,内存地址从0x00000000到0xFFFFFFFF。其中低2G为用户程序空间,高2G为操作系统内核空间。并且操作系统会将该文件中数据拉伸成内存中数据,从ImageBase开始,分配SizeOfImage大小空间当一个主PE文件由很多个子PE文件组成,当我们运行主PE文件时,所有的PE文件共享操作系统分配的一个4GB虚拟空间。
PE结构&基址重定位
寻梦&之璐
02-03 8106
重定位定位 重定位为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中, 重定位所在地址RVA=0x1F000 重定位数据大小=39C RVA转FOA后可以得到文件偏移地址为0x9800 重定位项IMAGE_BASE_RELOCATION 与导入类似,重定位指针指向的位置就是一个数组,而不像导出一样只有一个结构,这个数组的每一项都是如下结构: IMAGE_BASE_RELOCATION STRUCT VirtualAddress dd ? ;重定位内存页的起始RV
基于基址重定位的快速域名压缩算法
05-06
为了提高压缩速率,从DNS数据特征方面对域名压缩的原理进行了剖析,并在此基础上结合重定位技术,提出一种新的域名压缩算法.新的设计改变了传统的DNS数据处理流程,通过压缩前置,降低了应答的实时消耗.实验结果明...
PE文件学习(四)基址重定位
SanSiro1的博客
08-27 2112
数据目录的IMAGE_DIRECTORY_ENTRY_BASERELOC项指向此结构,由于在Windows系统中DLL(动态链接库)文件并不是每次都能加载到预设的基址(ImageBase)上,因此基址重定位主要应用于DLL文件中。       一般情况下重定位位于一个名为.reloc的区块内,PE文件中的重定位结构是由多个IMAGE_BASE_RELOCATION子结构组成的,每个子结构只负责
PE结构】重定位
SMOne
06-30 1792
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 、资源 九、重定位 1.概念 重定位 存的是PE文件中需要修改(变量数据)的地址的位置。 全局变量和局部静态变量在PE文件数据段中。 程序代码在寻址这些变量时,用的不是偏移RVA,而是直接地址VA。 2.使用规则 我们知道VA=基址+RVA,而基址默认是...
PE文件格式学习):基址重定位
11-08 269
1.简介 基址重定位位于数据目录中的第六个,它位于安全的后面。 这个的作用是用来索引那些需要重定位的数据的。当系统发现DLL的真实加载基址PE文件中的ImageBase中的值不一样时,就会启用基址重定位修复一些数据的地址。我们知道一个程序中可能包含多个DLL,因此有可能多个DLL之间的ImageBase是重合的,一旦某个加载基址被占用了,系统就会随机分配一个基址给将要加载的D...
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
windows PE Image 文件分析(6)--- .reloc 节与 base relocation table
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-11 3154
.reloc 节和 base relocation table 仅存在于 Image 文件中,用于当映像被加载运行的 ImageBase 改变后,对映像内的使用的地址进行重定位。 需要进行 ImageBase 重定位的映像性能会变得很糟糕。32 位的应用程序在 64 位系统上运行就是一个典型的例子。 下面以前面的 32 位 helloworld.exe 映像为例子   1. ImageBa
SMM系列(3)-- SMM的中断处理以及SMBASE重定向
huangkangying的专栏
11-13 4470
SMM的中断处理 当处理器进入SMM时,所有的硬件中断都将被禁止。 IF标识被清零,禁用可屏蔽中断。 TF标识被清零,禁用单步中断。 DR7被清零,禁用断点中断。 另外NMI, SMI, A20M也会被block. 应该记住的一点是,SMM是不可重入的。但是,SMM会锁存进入后的第一个SMI或NMI, 并且在退出SMM后的第一条指令前执行。 软中断在SMM中是没有被屏蔽的,如果要
2.7 PE结构:重定位详细解析
热门推荐
CSDN
09-07 1万+
重定位(Relocation Table)是Windows PE可执行文件中的一部分,主要记录了与地址相关的信息,它在程序加载和运行时被用来修改程序代码中的地址的值,因为程序在不同的内存地址中加载时,程序中使用到的地址也会受到影响,因此需要重定位这个数据结构来完成这些地址值的修正。
重定位详解
For Geek
05-10 3941
重定位对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位作为一个单独的区块放到区块中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
重定位结构解析
ChuMeng1999的博客
10-24 797
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节头解析以及RVA与文件偏移地址的转换》。 本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。 实验目的 1)了解重定位的原理; 2)了解PE文件的重定位结构
重定位
weixin_43990313的博客
07-12 654
概述 数据目录项的第6个结构,就是重定位。 结构 重定位的结构 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; } IMAGE_BASE_RELOCATION; typedef IMAGE_BASE_RELOCATION ,* PIMAGE_BASE_RELOCATION; 该结构体有两个成员:一个是地址,一个是大小。如下图所示:一个重定位由多个大小SizeOfB
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值