PE文件格式--------------重定位

最新推荐文章于 2022-11-02 23:08:44 发布
最新推荐文章于 2022-11-02 23:08:44 发布
阅读量185 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/guanlaiy/archive/2012/05/10/2493672.html
版权

一、关于重定位

1、直接寻址指令需要重定位。如:mov eax, dword ptr [4000c0h]

注意:call 401000h 是相对寻址,不需要重定位。

请问 call [401000h]需要重定位吗?

2、重定位需要的信息:重定位地址、实际装载地址、建议装载地址。

二、重定位数据结构

IMAGE_ BASE_RELOCATION struct

  VirtualAddress           dd         ;重定位内存页首地址RVA

  SizeOfBlock               dd         ;重定位块大小,包含本结构在内的大小

IMAGE_BASE_RELOCATION ends 

1、该结构后面紧跟的是word型的重定位项。

2、重定位地址的 RVA = VirtualAddress + word型重定位项的低12位

3、word行重定位项的高4位表示重定位类型,一般常见的值为0和3

高4位值常量表示含义
0IMAGE_REL_BASED_ABSOLUTE使块按照32位对齐,位置为0
1IMAGE_REL_BASED_HIGH高16位必须应用于偏移量所指高字16位
2IMAGE_REL_BASED_LOW低16位必须应用于偏移量所指低字16位
3IMAGE_REL_BASED_HIGHLOW全部32位应用于所有32位
4IMAGE_REL_BASED_HIGHADJ需要32位,高16位位于偏移量,低16位位于下一个偏移量数组元素,组合为一个带符号数,加上32位的一个数,然后加上8000然后把高16位保存在偏移量的16位域内
5IMAGE_REL_BASED_MIPS_JMPADDR资料不详
6IMAGE_REL_BASED_SECTION资料不详
7IMAGE_REL_BASED_REL32资料不详

4、重定位项数 = (SizeOfBlock - 4 - 4) / 2

5、重定位块结束,以IMAGE_BASE_RELOCATION结构的VirtualAddress值为0结束。因此若映像加载00400000h,则代码加载地址为00401000h

6、示例:

(1)运行界面

 

(2)代码processpefile_reloc.asm

;======================
;pe文件重定位表
;by 紫陌
;======================
;======================
;数据段
;======================
.data?


.const
szErrNon    db '没有重定位信息', 0
szBaseReloc   db '重定位首地址:%08X    重定位大小:%08X', 0dh, 0ah, 0
szTitleBlock  db '================重定位块(%08X)(累计大小%08X)=============', 0dh, 0ah, 0
szBlock    db '重定位内存页首地址(%08X):%08X', 0dh, 0ah
      db '重定位块大小(%08X):%08X', 0dh, 0ah, 0
szEntry    db '重定位项(%08X):%04X', 0dh, 0ah, 0

;======================
;代码段
;======================
.code

_ProcessPeFile_Reloc proc _lpImageBase
 local @szBuf[512]:BYTE
 local @dwRelocSize:DWORD
 local @dwEntryNum:DWORD
 local @dwTotalSize:DWORD
 
 pushad
 
 ;********************
 ;从数据目录取重定位首地址和大小
 ;********************
 mov edi, _lpImageBase
 assume edi:ptr IMAGE_DOS_HEADER
 add edi, [edi].e_lfanew
 assume edi:ptr IMAGE_NT_HEADERS
 mov ecx, [edi].OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC * sizeof IMAGE_DATA_DIRECTORY].isize
 mov @dwRelocSize, ecx
 mov edi, [edi].OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC * sizeof IMAGE_DATA_DIRECTORY].VirtualAddress
 .if !edi
  invoke lstrcpy, addr szShowMsg, addr szErrNon
  invoke SetWindowText, hRichEdit, addr szShowMsg
  jmp _overpos
 .endif
 ;*******************
 ;将RVA转为文件偏移
 ;*******************
 invoke _RvaToOffset, _lpImageBase, edi
 add eax, _lpImageBase
 mov edi, eax
 assume edi:ptr IMAGE_BASE_RELOCATION
 ;*******************
 ;显示重定位首地址和大小
 ;*******************
 invoke wsprintf, addr @szBuf, addr szBaseReloc, edi, @dwRelocSize
 invoke lstrcpy, addr szShowMsg, addr @szBuf
 invoke SetWindowText, hRichEdit, addr szShowMsg
 ;*******************
 ;循环显示重定位块
 ;*******************
 mov @dwTotalSize, 0
 .while TRUE
  .break .if [edi].VirtualAddress == 0
  ;****************
  ;重定位块累计大小
  ;****************
  mov ecx, @dwTotalSize
  add ecx, [edi].SizeOfBlock
  mov @dwTotalSize, ecx
  invoke wsprintf, addr @szBuf, addr szTitleBlock, edi, @dwTotalSize
  invoke lstrcat, addr szShowMsg, addr @szBuf
  ;****************
  ;重定位头
  ;****************
  invoke wsprintf, addr @szBuf, addr szBlock, \
   addr [edi].VirtualAddress, [edi].VirtualAddress, \
   addr [edi].SizeOfBlock, [edi].SizeOfBlock
  invoke lstrcat, addr szShowMsg, addr @szBuf
  ;****************
  ;重定位项
  ;****************
  mov ecx, [edi].SizeOfBlock
  sub ecx, 8
  shr ecx, 1
  mov @dwEntryNum, ecx
  mov esi, edi
  sub esi, 8
  .while ecx
   mov @dwEntryNum, ecx
   lodsw
   movzx eax, ax
   invoke wsprintf, addr @szBuf, addr szEntry, esi, eax
   invoke lstrcat, addr szShowMsg, addr @szBuf
   mov ecx, @dwEntryNum
   dec ecx
  .endw
  ;*****************
  ;显示重定位块
  ;*****************
  invoke SetWindowText, hRichEdit, addr szShowMsg
  ;*****************
  ;取下一个重定位块
  ;*****************
;  mov ecx, @dwRelocSize
;  sub ecx, [edi].SizeOfBlock
;  mov @dwRelocSize, ecx
  add edi, [edi].SizeOfBlock
 .endw
_overpos:
 assume edi:nothing
 popad
 ret

_ProcessPeFile_Reloc endp

 

转载于:https://www.cnblogs.com/guanlaiy/archive/2012/05/10/2493672.html

你狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件结构详解(六)重定位
evil.eagle的专栏
10-20 1万+
前面两篇 PE文件结构详解(四)PE导入表 和 PE文件结构详解(五)延迟导入表 介绍了PE文件中比较常用的两种导入方式,不知道大家有没有注意到,在调用导入函数时系统生成的代码是像下面这样的: 在这里,IE的iexplorer.exe导入了Kernel32.dll的GetCommandLineA函数,可以看到这是个间接call,00401004这个地址的内存里保存了目的地址,根据图中显示
PE文件:重定位表(为什么需要重定位和如何重定位
weixin_43742894的博客
03-31 1238
**为什么重定位?** 重定位就是修正PE文件的地址。 PE文件有着默认的基址(ImageBase默认为0x40000000),理论上当PE要加载的时候,就会占据这个地址,但是当这个地址因为一些原因,被占用而不能被加载时,PE文件就被加载到其他地方了,这时候就需要基址重定位了。
PE-栈与重定位
megaparsec
12-19 341
栈与重定位表 栈描述的是代码运行过程中,操作系统为调度程序之间相互调用关系,或临时存放操 作数而设置的一种数据结构。重定位表则是在一个PE中的代码被加载到任意一个内存地址 时,用来描述相关操作数地址的变化规律的数据结构。通过重定位技术,代码运行在内存的任意位置时,可以避免因操作数的定位错误而导致失败。 4.1 栈 栈是在程序运行时,操作系 统为调度程序之间相互调用关系或临时存放操作数而设置的一种数据结构。事实上,栈就是 内存的一块域。因为在这块区域中存取数据遵循一定的规则,所以就叫做数据结构。 栈遵循的规则
PE文件解析(5):重定位表详解
ylh的博客
11-02 1516
1、重定位表的作用 重定位表(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位表通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位表的大小可以定位可以确定这个表中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位表不止
PE重定位
yinhaijing123的专栏
05-04 718
PE文件基址重定位(Base Relocation),程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的,因此连接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,那么一旦程序没有将模块加载到ImageBase时,那么程序中 的指令地址就需要重新定位,例如:假设一个可执行文件,基址是0x400000,在这个image偏移0x1234处是一个指针,指
PE文件学习笔记(四):重定位表(Relocation Table)解析
热门推荐
Apollon_krj的博客
08-18 1万+
1、重定位表的作用重定位表(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
T-head riscv ld manual
最新发布
02-24
5. **后续章节**:手册可能还包含更多章节,如如何处理重定位、如何处理符号解析错误、如何调试链接问题,以及与其他GNU工具(如GCC编译器)的协同工作等。 通过这份手册,开发者可以获得关于RISC-V架构下链接过程...
checkPE.rar_Pe-file_infector_pe
09-22
7. **重定位信息**:检查PE文件的重定位表,确认文件是否被正确地定位到内存中。 汇编编写这样的工具意味着开发者可以深入理解PE文件格式的细节,并能有效地检测潜在的感染。对于系统安全人员、逆向工程师和恶意...
pe-parse:原理轻巧的CC ++ PE解析器
05-12
这意味着它应该能够抵抗格式错误或恶意制作的PE文件,并且应该支持分析软件会询问可执行程序容器的问题。 例如,列出重定位,描述导入和导出,并支持从虚拟地址读取字节以及文件偏移量。 pe-parse通过提供用于以下...
商业编程-源码-PE文件分析器.zip
06-21
PE文件在不同地址加载时,重定位表允许程序修正内部指针以适应新的内存位置。还有可能涉及到调试信息的解析,这对于调试和理解代码流程非常有用。 在安全角度,PE文件分析可以用于检测恶意软件。例如,分析器可能...
Python-abf抽象操纵二进制格式ELFPEandMachOformat
08-10
它包含了程序的机器代码、符号表、重定位信息等。ELF文件由多个头和节区组成,每个节区包含不同类型的程序数据,如代码、数据、字符串等。Python-abf项目可能提供了类和函数,使得开发者能够轻松地读取、修改和创建...
PE文件重定位
lookerson的专栏
09-12 4249
PE格式是Windows环境下可执行文件(如:exe,dll)的格式,而Windows下面的程序,例如动态链接库无法加载到它本身期望加载的地址的时候,便会发生重定位。那么,重定位是如何实现的呢?   一.PE文件格式的结构 PE文件主要是由PE头和PE体组成的,其中,PE头主要由DOS头, DOS存根,NT头:签名,NT头:文件头,NT头:可选头,节头组成, 而剩下的各节区组成PE体。其
PE文件结构(五)基址重定位
billvsme的专栏
10-07 6696
参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 基址重定位 链接器生成一个PE文件时,它会假设程序被装入时使用的默认ImageBase基地址(VC默认exe基地址00400000h,dll基地址10000000h),并且会把代码中所有指令中用到的地址都使用默认的基地址(例如 程序代码中 push 10001000,就是把10000000h当做了基地址,把push 10001000写入到文件中)。如果一个exe程序中一个dll装载时的地址与其它dll地址发生冲突(因为windo
初探计算机病毒世界(1)--感染
长弓落日的专栏
06-26 971
    破解和逆向工程,在很多人眼里看起来可能比较陌生,或者感觉遥远。是的,面对一行又一行的汇编代码,面对陌生的寄存器,面对由push、pop、call、ret等命令引起的堆栈数据的变化,很多人望而却步。是啊,高级语言中的变量都变成了一个又一个看似毫无意义的地址,顺序、循环、分支被分解为各种jx xxxx跳转,没有静态库可以调用,没有编译器的语法检查和内存访问检查,稍有疏忽程序就会出现非法操作。这
PE文件解析--重定位
qq_31125257的博客
12-22 491
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
8086汇编4位bcd码_汇编学习笔记
weixin_39849762的博客
10-30 559
这周还是将汇编的一些东西学了一下,我是在图书馆找了一本汇编程序设计书,结合实验楼的在线实验教程做的。以下是我关于汇编一些模糊点和值得注意的点所作的笔记。一.进位标志和溢出标志有何区别?进位标志是针对无符号数运算的,如果两个无符号数进行加减运算产生的进位或者借位,则置进位标志CF=1,否则置CF=0;溢出标志是针对有符号数运算的,8位有符号数表示范围是-128--+127。如果两个有符号数的运算结果...
PE文件重定位
weixin_43575859的博客
03-17 349
要链接PE文件中的重定位表的话,我们首先要知道哪些指令需要重定位,还有重定位的算法是怎样的。汇编中有些指令要用到内存地址,并且在编译的时候这些地址就固定在机器码里面了,如果我们程序的实际装入地址与模块的减一装入地址是相同的,那么这个指令就没问题,但是当实际装入地址与建议装入地址不相同时,如果没有重定位就会出问题了。 举个例子,假如我们在程序中写的代码是: mov eax,dword ptr [0...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值