PE 文件中.reloc节 删除记录

最新推荐文章于 2022-06-08 07:45:56 发布
最新推荐文章于 2022-06-08 07:45:56 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: 动态链接库 windows编程 信息安全 文章标签: 反汇编 windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012842205/article/details/44827593
版权

PE文件是windows 下的一种可移植执行体,其设计目的使用来解决跨平台问题(但实际上只是在windows下使用)。通常在windows下使用的.exe .dll .sys等文件都是PE文件,符合PE文件格式规范,有其自身的格式。不熟悉的朋友也可以网上查找相关资料。

PE文件的.reloc 节 即是使用了PE重定位技术。PE加载到进程虚拟地址时,会加载到PE中的IMAGE_OPTIONAL_HEADER结构体中ImageBase(DWORD)字段所指示的位置,一般.exe文件为4000000H,而.dll 文件为1000000H。但是一个PE依赖的DLL多数情况下不止一个!写一个简单的C程序,可能调用了kernel32.dll和User.dll等系统组件。而若先将kernel32.dll加载到1000000H的位置,User.dll 再加载到这个位置就会覆盖,所以加载器作了DLL重定位,将User.dll加载到其他位置,防止发生冲突。

win7与vista之前没有引入ASLR安全机制,所以.exe文件在加载后位置都是固定在ImageBase处。


windowsPE重定位操作基本步骤:

1、查找PE代码中硬编码的位置;

2、做相关运算,若地址值为x,ImageBase - x 进行Virtual Address 到 Relative Virtual Address 的运算,最后再加上实际加载的地址。


因为一般的.exe程序中reloc节几乎对运行无影响,可以直接删除(但dll和系统驱动好像都是必须的)。下面记录删除过程:

工具:任意一中PE查看器和十六进制编辑器(本文使用HexEdit和PETool&#

最低0.47元/天 解锁文章
_nMaple_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从可执行文件删除.reloc
Mi1k7ea
06-09 2223
基址重定位表对于DLL和SYS文件来说是必须得,但在EXE格式的PE文件,基址重定位表并无作用,将其删除后程序仍然能够正常运行。VC++生成的PE文件的重定位区名为.reloc删除区后文件可正常运行,并且缩减了文件大小。.reloc区一般位于所有区的最后,可以使用PEView和Win Hex Editor来手动删除。这里对reloc.exe程序进行演示。1、删除.reloc区头:...
PE增加删除一个
nishuodeqianshou的专栏
07-01 1048
PE添加,删除SECTION 这两天空闲,自己写了个添加,删除SECTION的程序,发现里面的技巧很多,需要注意的地方也很多,现把心得写上,希望能给正在学习PE文件的朋友提供方便。 关于PE的格式,PE的基本知识,请参看其他相关文章。 添加SECTION 添加SECTION的前提是在最后一个SECTION与第一个区块之间有足够的空间)添加一个新SECTION 40字
从可执行文件删除.reloc
weixin_43939527的博客
03-12 660
1、.reloc区 EXE形式的PE文件,“基址重定位表”项对运行没什么影响,将其删除后程序仍能正常运行(基址重定位表对DLL/SYS形式的文件来说几乎是必需的)。 基址重定位表: 在PE文件,基址重定位表一般放在一个单独的 “.reloc” 区,可以通过IMAGE_OPTIONAL_HEADER 的DataDirectory[5] 查看基址重定位表 的RVA。 在PEview查看no...
从可执行文件手动删除.reloc
极深研几
12-07 1522
1.整理reloc区头 2.删除.reloc
PE文件重定位概念学习
bcbobo21cn的专栏
03-21 332
PE文件基址重定位,Base Relocation。 程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的;因此连接器生成的指令的地址是在假设模块被 加载到ImageBase前提之下生成的; 那么一旦程序没有将模块加载到ImageBase时,那么程序 的指令地址就需要重新定位。 这是重定位的基本概念。 基址重定位项,加载器就是利用它来知道模块是否按预期的 位置加载,哪些指令是需要修改的。 加载器也是通过数据目录来定位【基址重定位项】,【基址重定位项】被包装 为一系列连续区段,每
PE结构图文.rar
05-06
PE文件Windows操作系统的可执行文件格式,它包含了程序的代码、数据和元数据。"PE结构图文.rar"这个压缩包包含10张高清图片,用图形化的方式展示了PE文件的结构,以及微软官方的PE文件结构手册,这对于理解PE...
C++的PE文件操作类
08-01
在编程领域,PE(Portable Executable)文件格式是Windows操作系统的可执行文件标准。它包含了程序的代码、数据以及运行所需的元数据。本篇将详细探讨C++如何操作PE文件,包括读取PE文件信息、解析导入表和导出表...
windows内存加载PE.rar
最新发布
08-17
Windows操作系统PE(Portable Executable)文件格式是用于存放可执行程序、动态链接库(DLL)等二进制代码的标准。这个压缩包“windows内存加载PE.rar”似乎包含了如何在内存加载PE文件的详细步骤和源码,这...
Windows_PE_File_Format.zip_PE Format
09-23
Windows PE(Portable Executable)文件格式是Microsoft Windows操作系统的核心组件,用于存储可执行程序、动态链接库(DLL)、驱动程序等。PE文件格式的结构复杂,但也是理解和分析Windows系统行为的基础。以下是...
PE文件格式
07-09
PE文件的加载过程,操作系统会使用加载器将文件从磁盘读取到内存,并根据PE头和区表进行重定位和初始化。然后,程序就可以开始执行了。 总结PE文件格式的关键知识点: 1. DOS头:兼容MS-DOS的小型引导程序。...
PE文件区添加并弹出简单的对话框
12-03
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
添加,插入PE文件
10-31
把任何二进制文件,以新添加一个区的方式,插入到可执行文件!
PE文件插入可执行代码(非源码)
03-12
根据PE文件 的结构特征,实现两种不同的向Pe文件插入可执行代码的方法: (1)在本的未用空间插入代码 (2)添加新的 在编写要添加的代码,要注意插入代码的变量地址的重定位和代码返回发动态获取API入口地址。。。
PE文件简单加密(加壳)--源码 <img src="/images/sunny.gif" ali
02-23
这个小软件通过在可执行文件(.exe)的尾部添加一个新(Section),并且修改PE的入口地址,使可执行文件在运行时,跳出一个输入密码的对话框,从而实现了简单的加密。源程序采用Delphi 6.0编写, 兼有少量的asm代码,用於可执行文件的加密。如需传播,请保留作品的完整性!
PE格式系列_0x05:输出表和重定位表(.reloc)
可乐松子的博客
06-08 732
输出表简单理解就是一个表格,记录输出函数的信息 流程:PE装载器访问PE文件输出表时,通过获取一个函数的地址,通过获取一个函数的名称,但是此时还没有建立对应关系,通过来建立名称和地址的联系示例1:DllDemo只有一个导出函数MsgBox 使用PE工具查看输出表示例2:kernel32.dll的输出表汇总查看 2.基址重定位表 通常重定位表只有dll文件和开了ASLR的exe才需要关心,因为此时不能保证加载时默认的装载地址不会被其他模块占用简单理解,对于PE加载器来说,他不关心需要修正的地址的具体用途,只
手动修改PE文件:修改
当我在写代码的时候我在写什么
11-06 3985
目前想到的关于修改表就是新增表移位,其它的改的读写什么的就改个Flag而已就不说了。以后有新的想法再添加。 1.新增 现在很多解析PE格式的软件都有添加的功能,具体代码怎么写,下面就说一下。PE格式结构排布顺序是这样:Dos头->DosStub->NT头->表->Padding->内容。 在表之后因为文件对齐的关系,可能会多出一段00,这一段00就可以用来
PE结构详解(二)
本博客所有内容都是转的前辈们的
04-13 945
(六)区段与区段表 前面花了很大的力气终于把复杂的PE header讲完了,在PE header紧接着的就是区段表(Secton Table),所谓的紧接着,就是一个字也不差的意思,^_^          还记得么?我们在很前面讲File header时,里面一个成员就是NumberOfSections,就是区段的个数,是7个,那么对应的区段表的表项也应当有7项。         
import com.google.firebase.crashlytics.buildtools.reloc.org.apache.http.client.methods.HttpPost;失败
05-04
您可以尝试将以下代码添加到您的项目,以使用新的 HTTP 客户端发送 POST 请求: ```java import java.net.URI; import java.net.http.HttpClient; import java.net.http.HttpRequest; import java.net....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值