PE重定位表学习笔记

最新推荐文章于 2024-07-13 22:55:30 发布
最新推荐文章于 2024-07-13 22:55:30 发布
阅读量479 收藏 2
点赞数 1
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tzwj1983/article/details/64729958
版权

重定位表结构

typedef struct _IMAGE_BASE_RELOCATION {
DWORD   VirtualAddress;
DWORD   SizeOfBlock;
} IMAGE_BASE_RELOCATION;

typedef struct _IMAGE_BASE_RELOCATION {  
    DWORD   VirtualAddress;  
    DWORD   SizeOfBlock;  
    WORD    TypeOffset[];  
} IMAGE_BASE_RELOCATION;  
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

注意点

  • VirtualAddress是这一组重定位数据的开始的RVA地址。各重定位项的地址加上这个值才是该重定位项完整的RAV地址。

  • SizeOfBlock是当前重定位表结构的大小。因为DWORD VirtualAddress和DWORD SizeOfBlock,可以看出它们的大小固定的4个字节,因此减去8,则是TypeOffset大小。再观察WORD TypeOffset发现是每个是2字节。所以用TypeOffset/2就可以得到TypeOffset在当前重定位表结构的数量。

  • TypeOffset是一个数组,大小两个字节(16位)。它又分为高4位和低12位。高4位是重定位表的类型(值0说明不要修改、值3说明重定位指向的地址需要修改、值10说明重定位指向的地址需要修改<出现在64位的PE中>),低12位是重定位的地址。

重定位表的结构和理解见流程图
这里写图片描述

重定位表打印的部分核心代码(API)

BOOL Add_list_Relocation_View_Items(HWND hListDescriport,HWND hDlg)
{
    LVITEM lvI;
    DWORD index=0;
    char string[32];
    ZeroMemory(string,32);
    ZeroMemory(&lvI,sizeof(lvI));
    lvI.mask=LVIF_TEXT;//|LVIF_IMAGE|LVIF_PARAM|LVIF_STATE

    //定位到重定位表结构
    PIMAGE_BASE_RELOCATION pIMAGE_BASE_RELOCATION=NULL;
    pIMAGE_BASE_RELOCATION = (PIMAGE_BASE_RELOCATION)
        ((DWORD)lpMemory + RVAToFOA(lpMemory, pOptionHeader->DataDirectory[5].VirtualAddress)); 



    if(!pIMAGE_BASE_RELOCATION)
    {
        MessageBox(hDlg,"can't get IMAGE_BASE_RELOCATION ","IMPORTD",MB_OK);
        return FALSE;
    }

    int i;
    int j=1;
    while (pIMAGE_BASE_RELOCATION->SizeOfBlock&&pIMAGE_BASE_RELOCATION->VirtualAddress)
    {
        //计算需要修改的地址的个数
        int uRelocTableSize=(pIMAGE_BASE_RELOCATION->SizeOfBlock-8)/2;
    //找出TypeOffset的首地址指针
        PWORD pTypeOffset=(PWORD)((char*)pIMAGE_BASE_RELOCATION+8);
        int n1=1;
        //循环遍历
        for (i=0;i<uRelocTableSize;i++)
        {//判断高4位是否等于3
            int Type=(*(pTypeOffset+i))>>12;
            if (Type==3)
            {
                ZeroMemory(&lvI,sizeof(lvI));
                lvI.iItem=index;
                lvI.mask=LVIF_TEXT;

                lvI.iSubItem=0;
                ZeroMemory(string,32);
                wsprintf(string, "%08d", j); 
                lvI.pszText=TEXT(string);
                ListView_InsertItem(hListDescriport,&lvI);

                lvI.iSubItem=1;
                ZeroMemory(string,32);
                wsprintf(string, "%03d",n1); 
                lvI.pszText=TEXT(string);
                ListView_SetItem(hListDescriport,&lvI);

                lvI.iSubItem=2;
                ZeroMemory(string,32);
                wsprintf(string, "%08X",(DWORD)(pTypeOffset+i)-(DWORD)lpMemory); //
                lvI.pszText=TEXT(string);
                ListView_SetItem(hListDescriport,&lvI);

                lvI.iSubItem=3;
                lvI.pszText=TEXT("要");
                ListView_SetItem(hListDescriport,&lvI);

                lvI.iSubItem=4;
                ZeroMemory(string,32);
            //  wsprintf(string, "%08X", 
            //      (DWORD)(*(pTypeOffset+i)&0x0fff+pIMAGE_BASE_RELOCATION->VirtualAddress)); 
                //上面备注代码错误原因*(pTypeOffset+i)&0x0fff和pIMAGE_BASE_RELOCATION->VirtualAddress占的字节大小不一致
                wsprintf(string, "%08X", 
                    (DWORD)(*(pTypeOffset+i)&0x0fff)+pIMAGE_BASE_RELOCATION->VirtualAddress); 
                    lvI.pszText=TEXT(string);
                ListView_SetItem(hListDescriport,&lvI);

                lvI.iSubItem=5;
                ZeroMemory(string,32);
                wsprintf(string, "%08X",RVAToFOA(lpMemory, 
                    (DWORD)(*(pTypeOffset+i)&0x0fff)+pIMAGE_BASE_RELOCATION->VirtualAddress)); 
                lvI.pszText=TEXT(string);
                ListView_SetItem(hListDescriport,&lvI);

                lvI.iSubItem=6;
                ZeroMemory(string,32);
                wsprintf(string, "%08X",*(PDWORD)((DWORD)lpMemory + 
                    RVAToFOA(lpMemory,(DWORD)(*(pTypeOffset+i)&0x0fff)+pIMAGE_BASE_RELOCATION->VirtualAddress))); 
                lvI.pszText=TEXT(string);
                ListView_SetItem(hListDescriport,&lvI);

            }
            else
            {
                ZeroMemory(&lvI,sizeof(lvI));
                lvI.iItem=index;
                lvI.mask=LVIF_TEXT;

                lvI.iSubItem=0;
                ZeroMemory(string,32);
                wsprintf(string, "%08d", j); 
                lvI.pszText=TEXT(string);
                ListView_InsertItem(hListDescriport,&lvI);

                lvI.iSubItem=1;
                ZeroMemory(string,32);
                wsprintf(string, "%03d",n1); 
                lvI.pszText=TEXT(string);
                ListView_InsertItem(hListDescriport,&lvI);

                lvI.iSubItem=2;
                ZeroMemory(string,32);
                wsprintf(string, "%08X", (DWORD)(pTypeOffset+i)-(DWORD)lpMemory); 
                lvI.pszText=TEXT(string);
                ListView_SetItem(hListDescriport,&lvI);

                lvI.iSubItem=3;
                lvI.pszText=TEXT("不要");
                ListView_SetItem(hListDescriport,&lvI);

                lvI.iSubItem=4;
                ZeroMemory(string,32);
                lvI.pszText=TEXT("-");
                ListView_SetItem(hListDescriport,&lvI);

                lvI.iSubItem=5;
                ZeroMemory(string,32);
                lvI.pszText=TEXT("-");
                ListView_SetItem(hListDescriport,&lvI);

                lvI.iSubItem=6;
                ZeroMemory(string,32);
            lvI.pszText=TEXT("-");
                ListView_SetItem(hListDescriport,&lvI);
            }
            n1++;
            index++;
        }
        //进行下一个重定位表的修改
        pIMAGE_BASE_RELOCATION=(IMAGE_BASE_RELOCATION *)((DWORD)pIMAGE_BASE_RELOCATION+pIMAGE_BASE_RELOCATION->SizeOfBlock);
    j++;
    }

    return 0;
}


VOID Init_Relocation_listView(HWND hDlg)
{
    LV_COLUMN lv;
    HWND hListDescriport;

    //初始化
    memset(&lv,0,sizeof(LV_COLUMN));
    //获取IDC_LIST_DESCRIPTOR句柄
    hListDescriport=GetDlgItem(hDlg,IDC_LIST_Relocation);
    //设置整行选中
    SendMessage(hListDescriport,LVM_SETEXTENDEDLISTVIEWSTYLE,LVS_EX_FULLROWSELECT,LVS_EX_FULLROWSELECT);

    //第一列

    lv.mask=LVCF_TEXT|LVCF_WIDTH|LVCF_SUBITEM;
    lv.pszText=TEXT("条目块");            //列标题
    lv.cx=100;                          //列宽
    lv.iSubItem=0;

    SendMessage(hListDescriport,LVM_INSERTCOLUMN,0,(DWORD)&lv);


    //第二列

    lv.mask=LVCF_TEXT|LVCF_WIDTH|LVCF_SUBITEM;
    lv.pszText=TEXT("编号");            //列标题
    lv.cx=50;                          //列宽
    lv.iSubItem=0;

    SendMessage(hListDescriport,LVM_INSERTCOLUMN,1,(DWORD)&lv);

    //第三列

    lv.mask=LVCF_TEXT|LVCF_WIDTH|LVCF_SUBITEM;
    lv.pszText=TEXT("TypeOffset(FOA)");            //列标题
    lv.cx=120;                          //列宽
    lv.iSubItem=0;

    SendMessage(hListDescriport,LVM_INSERTCOLUMN,2,(DWORD)&lv);

    //第四列

    lv.mask=LVCF_TEXT|LVCF_WIDTH|LVCF_SUBITEM;
    lv.pszText=TEXT("是否要修改");            //列标题
    lv.cx=100;                          //列宽
    lv.iSubItem=0;

    SendMessage(hListDescriport,LVM_INSERTCOLUMN,3,(DWORD)&lv);

    //第五列

    lv.mask=LVCF_TEXT|LVCF_WIDTH|LVCF_SUBITEM;
    lv.pszText=TEXT("修改地址(RVA))");            //列标题
    lv.cx=120;                          //列宽
    lv.iSubItem=0;

    SendMessage(hListDescriport,LVM_INSERTCOLUMN,4,(DWORD)&lv);

    //第五列

    lv.mask=LVCF_TEXT|LVCF_WIDTH|LVCF_SUBITEM;
    lv.pszText=TEXT("修改地址(FOA))");            //列标题
    lv.cx=120;                          //列宽
    lv.iSubItem=0;

    SendMessage(hListDescriport,LVM_INSERTCOLUMN,5,(DWORD)&lv);

    //第六列

    lv.mask=LVCF_TEXT|LVCF_WIDTH|LVCF_SUBITEM;
    lv.pszText=TEXT("修改地址的具体值");            //列标题
    lv.cx=120;                          //列宽
    lv.iSubItem=0;

    SendMessage(hListDescriport,LVM_INSERTCOLUMN,6,(DWORD)&lv);



    Add_list_Relocation_View_Items(hListDescriport,hDlg);
}
tzwj1983
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
重定位
weixin_43990313的博客
07-12 655
概述 数据目录项的第6个结构,就是重定位。 结构 重定位的结构 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; } IMAGE_BASE_RELOCATION; typedef IMAGE_BASE_RELOCATION ,* PIMAGE_BASE_RELOCATION; 该结构体有两个成员:一个是地址,一个是大小。如下图所示:一个重定位由多个大小SizeOfB
PE重定位解析
windows小菜鸡的博客
08-17 961
1、重定位的作用 在模块被加载到内存中,如果该模块没有装载到期待的位置,里面以固定形式而不是以偏移形式硬编码的地址就需要修正,这样程序才能被正确加载。 例如:CALL 401203。这个在编译器编译的时候将CALL后面的函数地址以硬编码的形式固定住,那么一旦模块不是被加载到40000的基址,而是被加载到100000,则这条函数调用指令就不能正确找到函数,这时候就需要修正这个401203为1001203才可以。这就需要重定位了 2、重定位的位置 可选PE头中数据目录项的第6个结构就是重定位。 注意:
PE结构之重定位
weixin_30462049的博客
11-13 172
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
PE文件(十)重定位
最新发布
2301_78838647的博客
07-13 920
重定位的引入程序加载过程在win32下,每一个PE文件(其可能由多个子PE文件组成)在运行时,操作系统会给分配一个独立的4GB虚拟内存,内存地址从0x00000000到0xFFFFFFFF。其中低2G为用户程序空间,高2G为操作系统内核空间。并且操作系统会将该文件中数据拉伸成内存中数据,从ImageBase开始,分配SizeOfImage大小空间当一个主PE文件由很多个子PE文件组成,当我们运行主PE文件时,所有的PE文件共享操作系统分配的一个4GB虚拟空间。
【旧文章搬运】PE重定位学习手记
weixin_30326741的博客
12-26 107
原文发于百度空间,2008-11-02========================================================================== 先定义一下用到的几个变量:char *hModule=NULL;//映射后的基址PIMAGE_OPTIONAL_HEADER pOptHeader;//扩展头PIMAGE_DATA_DIRECTORY pRe...
笔记:PE结构(7)重定位解析
Q324411601的博客
09-03 196
笔记:PE解析(7)重定位
秦万强PE文件学习笔记.pdf
06-06
8. 重定位重定位PE文件中用于修正由于程序加载到基址变化导致的地址问题。它包含有关重定位项的信息,如重定位项的虚拟地址、大小以及重定位类型。 9. 资源:资源记录了PE文件中包含的资源,如图标、菜单...
PE学习笔记1
我还在的博客
10-14 602
文章目录与PE相关概念地址扩展虚拟内存VA相对虚拟内存地址RVA文件偏移FOA特殊地址数据目录节对齐PE文件结构 学习笔记来源《Windows.PE权威指南》这本书 与PE相关概念 地址 VA(Virtual Address):虚拟内存地址 RVA(Relative Virtual Address):相对虚拟内存地址 FOA(File Offset Address):文件偏移地址 特殊地址 扩展 ...
PE结构学习笔记
weixin_44164182的博客
02-25 250
1.PE文件基本结构 (1)DOS头: DOS MZ头,IMAGE_DOS_HEADER结构体 DOS块 (2)PE文件头 PE文件头标志 PE文件头,IMAGE_OPTIONAL_HEADER结构体 PE文件可选头,IMAGE_OPTIONAL_HEADER32结构体 (3)节,IMAGE_SECTION_HEADER结构 (3)节数据 2.PE文件的两种存在形式 PE文件在磁盘文件...
PE学习资料2.zip
02-06
在"PE学习笔记-增加区块"中,我们将探讨如何在已有的PE文件基础上添加新的区块,以及这个过程涉及到的PE文件结构和编程技术。首先,我们要知道PE文件由文件头(File Header)和可选头(Optional Header)两部分构成...
用的上的商学课1-50课学习笔记
翾的博客
01-12 4417
机会成本 我们每天都在做选择, 而每个人所拥有的时间, 金钱, 社会资源都是有限的. 所以我们通常为了得到某一样东西, 一般我们都不得不放弃另外一些东西. 在经济学里, 这些不得不放弃的东西, 就是我们为当前选择所付出的机会成本. 有人这样描述机会成本, 鱼与熊掌不可兼得, 那么放弃掉的鱼, 就是你选择熊掌的代价. 了解机会成本, 要记住以下三个词: 所有的选择都有机会成本, 没有例外. 机会成本...
PE-重定位
qq_51600802的博客
10-27 943
按照上述思路,可写代码打印重定位的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
重定位 (1)
richard1230的博客
10-09 1348
1.重定位的需求: 在生成程序的时候,很多涉及到地址的代码,都使用一个绝对的虚拟内存地址(这个虚拟内存地址是假设程序加载到0x400000的地方时才能够使用的),但是当程序的加载基址产生变化的时候,新的加载基址和默认的加载基址就不一样了,那些涉及到地址的代码就不能运行了,此时就需要将那些涉及到地址的代码,把他们的操作数修改(去掉默认加载基址,再加上新的加载基址)才能够使程序运行起来. 2.产生重定...
PE结构(二)重定位
weixin_37673331的博客
02-28 238
重定位结构体 代码 # define _CRT_SECURE_NO_WARNINGS # include "stdio.h" # include "stdlib.h" # include "windows.h" # include "PE.h" /* 1、定位重定位,并打印出重定位内数据以及需要重定位的内容 */ int PrintReloactionTable(PVOID Fi...
秦万强PE文件系统详解与学习笔记概览
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件(PE文件)进行了深入解析。PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值