重定位表介绍

最新推荐文章于 2022-05-06 15:18:00 发布
最新推荐文章于 2022-05-06 15:18:00 发布
阅读量1.6k 收藏
点赞数
分类专栏: PE 文章标签: PE 重定位表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013610563/article/details/124560601
版权

文章目录

一、重定位表

重定位表的应用场景之一:譬如某个DLL中有一些全局变量,在程序中对这些全局变量的调用在编译的时候已经写成了绝对地址(imagebase+Rva),但是EXE加载DLL的时候,其imagebase值与DLL中给定的imagebase可能不一致,导致该变量的绝对地址无效,因此需要一个表,记录一下一旦出现这种情况,如何去修改这些值,而这个表记录的就是需要修改值所在位置的RVA。

重定位表在PE数据目录的第6项,这里以某个DLL为例,其重定位表结构如下图所示:
在这里插入图片描述

重定位表中是按照块进行划分的,最后一个以全零的VirtualAddress和SizeofBlock为结束。这里SizeofBlock表示本块的总字节数。每一个块里面表示的是要修改的数据挨得比较近的,具体的RVA计算值为VirtualAddress+每一块中低12比特(高4位为0x0011),如果高4位不是0x0011,则表示此位置处数据不需要修改。

通过LordPE工具和OllyDBG工具分析,我们发现在该重定位地址处运行时的值发生的变化,不在是原DLL中存放的值。(如下图)

原DLL中值
修改后DLL值

亦楠_把一件事做好
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
重定位结构解析
ChuMeng1999的博客
10-24 790
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节头解析以及RVA与文件偏移地址的转换》。 本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。 实验目的 1)了解重定位的原理; 2)了解PE文件的重定位结构
重定位
weixin_43990313的博客
07-12 620
概述 数据目录项的第6个结构,就是重定位。 结构 重定位的结构 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; } IMAGE_BASE_RELOCATION; typedef IMAGE_BASE_RELOCATION ,* PIMAGE_BASE_RELOCATION; 该结构体有两个成员:一个是地址,一个是大小。如下图所示:一个重定位由多个大小SizeOfB
重定位详解
For Geek
05-10 3872
重定位对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位作为一个单独的区块放到区块中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
PE文件解析--重定位
qq_31125257的博客
12-22 491
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
用x32/x64dbg脱DLL壳(IAT修复和重定位修复)
qq_41866334的博客
05-06 4877
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg的脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT,dump并fix pe文件即可. ...
RelocX重定位修复
03-27
下面将详细介绍重定位的基本原理,DLL脱壳的含义,以及RelocX工具如何帮助进行重定位修复。 首先,我们来理解什么是重定位。在计算机编程中,重定位是指程序在内存中的地址与源代码中的逻辑地址不匹配时,调整程序...
MySQL重定位数据目录的方法
09-10
主要介绍了MySQL重定位数据目录的实现方法,分析了重定位MySQL数据目录的实现原理与技巧,具有一定的参考借鉴价值,需要的朋友可以参考下
PE文件重定位信息编辑工具 v1.0 绿色免费版.zip
03-25
PE文件重定位信息编辑工具是一款编程工具类软件,有了它以后,用户在编辑PE文件时就不需要每次都去查看重定位的内容了,非常的方便和实用,喜爱的朋友赶快下载体验吧! 官方介绍 PE文件重定位信息编辑工具是一款...
甲壳重定位信息查看器
03-28
本文将围绕"甲壳重定位信息查看器"这一工具,详细介绍PE、EXE和DLL文件中的重定位信息以及其重要性。 首先,我们需要了解什么是重定位。在程序编译和链接过程中,由于内存地址不确定性,编译器无法为每个函数或变量...
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
远程代码/进程注入和重定位
04-08
远程代码/进程注入和重定位是计算机编程中的高级技术,主要应用于系统监控、调试、恶意软件行为以及合法的安全工具中。这项技术涉及到在运行时将一个程序或代码块放入另一个正在运行的进程的地址空间中执行,从而...
模拟实现页面地址重定位实习报告.pdf
10-04
本报告主要介绍了模拟实现页面地址重定位的实验报告,涉及到了操作系统设计中的页式地址重定位技术。该实验报告由四个部分组成:实验内容、实验题目、设计思想和实验结果。 实验内容 在这个实验中,我们需要设计和...
Hypo2000_地震绝对定位程序_
10-04
本文将详细介绍Hypo2000的基本功能、工作原理以及使用方法。 一、Hypo2000程序概述 Hypo2000是一款由地震学家开发的地震定位软件,它利用地震波到达时间数据,通过数学优化算法来确定地震发生的精确位置。程序集成...
进程调度、银行家算法、页式地址重定位模拟,LRU算法模拟和先来先服务算法代码
04-07
进程调度、银行家算法、页式地址重定位模拟、LRU 算法模拟和先来先服务算法代码 本文将对操作系统中进程调度、银行家算法、页式地址重定位模拟、LRU 算法模拟和先来先服务算法代码进行详细的解释和分析。 一、进程...
PE重定位
不会写代码的丝丽
04-10 1108
前言 首先看一个问题,假设我们的某个EXE/DLL首选加载地址是0x10000,但实际由于随机基质等原因实际加载地址与首选地址产生的偏移。 我们首先看一个exe的静态反编译结果 我们看到00411E98这个地址的反汇编指令是MOV EAX,[41A014H] 我们再看看动态加载这个EXE后的结果 这个你可以明显看到这个指令变成了eax dword ptr[09FA014h],这个读取地址从41A014H到09FA014h变化。这就是因为基地址实际装载有变化因此需要对于实际地址的命令做出改变。 为了解
描述C,C++编译和链接过程
weixin_33920401的博客
12-18 407
为什么80%的码农都做不了架构师?>>> ...
重定位的原理&实现
xuplus的专栏
04-15 7798
重定位  病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
PE文件格式学习(八):基址重定位
11-08 249
1.简介 基址重定位位于数据目录中的第六个,它位于安全的后面。 这个的作用是用来索引那些需要重定位的数据的。当系统发现DLL的真实加载基址跟PE文件中的ImageBase中的值不一样时,就会启用基址重定位修复一些数据的地址。我们知道一个程序中可能包含多个DLL,因此有可能多个DLL之间的ImageBase是重合的,一旦某个加载基址被占用了,系统就会随机分配一个基址给将要加载的D...
IMX6ULL处理器的程序重定位解析
本文档详细介绍了在IMX6ULL处理器平台上进行程序重定位的过程,重点关注了程序段的概念和分类,以及如何通过链接脚本和Makefile来控制这一过程。 在嵌入式系统中,程序的重定位是一个关键步骤,它涉及到程序在内存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值