PE 文件中.reloc节 删除记录

最新推荐文章于 2023-01-27 16:45:37 发布
最新推荐文章于 2023-01-27 16:45:37 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: 动态链接库 windows编程 信息安全 文章标签: 反汇编 windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012842205/article/details/44827593
版权

PE文件是windows 下的一种可移植执行体,其设计目的使用来解决跨平台问题(但实际上只是在windows下使用)。通常在windows下使用的.exe .dll .sys等文件都是PE文件,符合PE文件格式规范,有其自身的格式。不熟悉的朋友也可以网上查找相关资料。

PE文件的.reloc 节 即是使用了PE重定位技术。PE加载到进程虚拟地址时,会加载到PE中的IMAGE_OPTIONAL_HEADER结构体中ImageBase(DWORD)字段所指示的位置,一般.exe文件为4000000H,而.dll 文件为1000000H。但是一个PE依赖的DLL多数情况下不止一个!写一个简单的C程序,可能调用了kernel32.dll和User.dll等系统组件。而若先将kernel32.dll加载到1000000H的位置,User.dll 再加载到这个位置就会覆盖,所以加载器作了DLL重定位,将User.dll加载到其他位置,防止发生冲突。

win7与vista之前没有引入ASLR安全机制,所以.exe文件在加载后位置都是固定在ImageBase处。


windowsPE重定位操作基本步骤:

1、查找PE代码中硬编码的位置;

2、做相关运算,若地址值为x,ImageBase - x 进行Virtual Address 到 Relative Virtual Address 的运算,最后再加上实际加载的地址。


因为一般的.exe程序中reloc节几乎对运行无影响,可以直接删除(但dll和系统驱动好像都是必须的)。下面记录删除过程:

工具:任意一中PE查看器和十六进制编辑器(本文使用HexEdit和PETool&#

最低0.47元/天 解锁文章
_nMaple_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构图文.rar
05-06
PE文件Windows操作系统的可执行文件格式,它包含了程序的代码、数据和元数据。"PE结构图文.rar"这个压缩包包含10张高清图片,用图形化的方式展示了PE文件的结构,以及微软官方的PE文件结构手册,这对于理解PE...
从可执行文件删除.reloc
weixin_43939527的博客
03-12 657
1、.reloc区 EXE形式的PE文件,“基址重定位表”项对运行没什么影响,将其删除后程序仍能正常运行(基址重定位表对DLL/SYS形式的文件来说几乎是必需的)。 基址重定位表: 在PE文件,基址重定位表一般放在一个单独的 “.reloc” 区,可以通过IMAGE_OPTIONAL_HEADER 的DataDirectory[5] 查看基址重定位表 的RVA。 在PEview查看no...
从可执行文件删除.reloc
qq_39249347的博客
08-14 686
.reloc区 EXE形式的PE文件,“基址重定位表”项对运行没有什么影响,实际上,将其删除后程序仍能正常运行。 VC++生成的PE文件的重定位区名为.reloc删除区后文件照常运行,且文件大小将缩减,.reloc区一般位于所有区的最后。 若要删除位于文件末尾的.reloc区,需要按照以下4个步骤操作: 整理.reloc区头 删除.reloc区 修改IMAGE_FILE_HEADER 修改IMAGE_OPTIONAL_HEADER 删除.reloc区头 可以.
PE格式系列_0x05:输出表和重定位表(.reloc)
可乐松子的博客
06-08 732
输出表简单理解就是一个表格,记录输出函数的信息 流程:PE装载器访问PE文件输出表时,通过获取一个函数的地址,通过获取一个函数的名称,但是此时还没有建立对应关系,通过来建立名称和地址的联系示例1:DllDemo只有一个导出函数MsgBox 使用PE工具查看输出表示例2:kernel32.dll的输出表汇总查看 2.基址重定位表 通常重定位表只有dll文件和开了ASLR的exe才需要关心,因为此时不能保证加载时默认的装载地址不会被其他模块占用简单理解,对于PE加载器来说,他不关心需要修正的地址的具体用途,只
PE结构详解(二)
本博客所有内容都是转的前辈们的
04-13 944
(六)区段与区段表 前面花了很大的力气终于把复杂的PE header讲完了,在PE header紧接着的就是区段表(Secton Table),所谓的紧接着,就是一个字也不差的意思,^_^          还记得么?我们在很前面讲File header时,里面一个成员就是NumberOfSections,就是区段的个数,是7个,那么对应的区段表的表项也应当有7项。         
PE文件格式
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-27 6520
PE文件基本内容
C++的PE文件操作类
08-01
在编程领域,PE(Portable Executable)文件格式是Windows操作系统的可执行文件标准。它包含了程序的代码、数据以及运行所需的元数据。本篇将详细探讨C++如何操作PE文件,包括读取PE文件信息、解析导入表和导出表...
windows内存加载PE.rar
最新发布
08-17
Windows操作系统PE(Portable Executable)文件格式是用于存放可执行程序、动态链接库(DLL)等二进制代码的标准。这个压缩包“windows内存加载PE.rar”似乎包含了如何在内存加载PE文件的详细步骤和源码,这...
Windows_PE_File_Format.zip_PE Format
09-23
Windows PE(Portable Executable)文件格式是Microsoft Windows操作系统的核心组件,用于存储可执行程序、动态链接库(DLL)、驱动程序等。PE文件格式的结构复杂,但也是理解和分析Windows系统行为的基础。以下是...
用16进制编辑器编写一个DLL文件附件
03-17
记得当时这篇文章足足写了三十多个小时,写完后就感觉基本掌握了windowsPE文件格式,在看雪和壳狂发表后也得到了很多的网友的支持,特别是上海网友cnhnyu,发现了本文的几个错误,非常感谢他的指点 教程文章:http://blog.csdn.net/newjueqi/archive/2009/03/15/3992408.aspx
JIURL PE 格式学习总结(一)-- PE文件概述
jiurl的专栏
05-01 3211
零 前言     PE格式,是Windows的可执行文件的格式。Windows的 exe文件,dll文件,都是PE格式。PE 就是Portable Executable 的缩写。Portable 是指对于不同的Windows版本和不同的CPU类型上PE文件的格式是一样的,当然CPU不一样了,CPU指令的二进制编码是不一样的。只是文件各种东西的布局是一样的。 图 1.1    图
PEPE文件结构学习
dr0op's blog
03-31 1260
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘和内存基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统,一个在内存对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
PE文件结构
南宫封清的博客
04-19 3728
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
windows PE Image 文件分析(6)--- .reloc 与 base relocation table
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-11 3103
.reloc 和 base relocation table 仅存在于 Image 文件,用于当映像被加载运行的 ImageBase 改变后,对映像内的使用的地址进行重定位。 需要进行 ImageBase 重定位的映像性能会变得很糟糕。32 位的应用程序在 64 位系统上运行就是一个典型的例子。 下面以前面的 32 位 helloworld.exe 映像为例子   1. ImageBa
VS2017常见的错误及解决办法
gj295983859的博客
06-24 5778
VS2017常见的错误及解决办法1、LINK : fatal error LNK11042、LINK : fatal error LNK1561无法打开math.h等源文件debug模式下的链接库问题 1、LINK : fatal error LNK1104 LINK : fatal error LNK1104 can not open file xxxxx.lib 其实是一种链接器错误,只需...
PE文件重定位概念学习
bcbobo21cn的专栏
03-21 330
PE文件基址重定位,Base Relocation。 程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的;因此连接器生成的指令的地址是在假设模块被 加载到ImageBase前提之下生成的; 那么一旦程序没有将模块加载到ImageBase时,那么程序 的指令地址就需要重新定位。 这是重定位的基本概念。 基址重定位项,加载器就是利用它来知道模块是否按预期的 位置加载,哪些指令是需要修改的。 加载器也是通过数据目录来定位【基址重定位项】,【基址重定位项】被包装 为一系列连续区段,每
import com.google.firebase.crashlytics.buildtools.reloc.org.apache.http.client.methods.HttpPost;失败
05-04
您可以尝试将以下代码添加到您的项目,以使用新的 HTTP 客户端发送 POST 请求: ```java import java.net.URI; import java.net.http.HttpClient; import java.net.http.HttpRequest; import java.net....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值