Windows:PE格式之基址重定位

最新推荐文章于 2022-02-25 17:51:16 发布
最新推荐文章于 2022-02-25 17:51:16 发布
阅读量782 收藏 2
点赞数
分类专栏: Windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43249758/article/details/115214160
版权
本文深入探讨了基址重定位的必要性、操作过程,以及通过实例讲解了如何通过IMAGE_BASE_RELOCATION结构进行地址调整。重点介绍了PE文件中的基址重定位表,展示了libdll_generate.dll文件的实例分析,帮助读者理解基址重定位在软件装载中的关键作用。
摘要由CSDN通过智能技术生成

文章目录

参考:
基址重定位的作用及详细解析
小甲鱼PE详解之基址重定位详解
PE文件结构(五)基址重定位
《程序员的自我修养:链接、装载与库》

什么是基址重定位

重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程,也就是说在装入时对目标程序中指令和数据的修改过程。他是实现多道程序在内存中同时运行的基础。

为什么需要基址重定位

每个PE文件都有一个首选基地址,它表示模块被映射到进程地址空间时最佳的装载位置。
而代码中有许多语句都是使用直接寻址方式表示的这些地址是以PE文件被加载到首选基地址的条件下确定的,但如果PE文件不能被加载到首选基地址处,则代码中所有的直接寻址指令都会出现问题,这时就需要进行重定位对指令进行修正。

如何进行基址重定位

从PE头拿到建议装入地址
直接寻址指令的地址修正为:原双字地址 + 实际装入地址 - 建议装入地址

重定位表的数据结构

基址重定位表是由一个个IMAGE_BASE_RELOCATION结构体构成的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
IBR结构体如下:
在这里插入图片描述

VirtualAddress:需要进行重定位的块的起始RVA

SizeOfBlock:针对此块的重定位表的大小,包括VirtualAddress字段和SizeOfBlock字段及后面的TypeOffset数组。

还有一个变量紧随其后,但是不属于此结构体
TypeOffset:WORD类型的数组,每一项2B,其中高4b是重定位类型,低12b是:需要重定位的指令地址相对于此块的起始RVA的偏移量。

重定位类型的值如下:
在这里插入图片描述

实例

PE文件名:libdll_generate.dll
LordPE打开,重定位表的RVA:96000H
在这里插入图片描述
转FileOffset为90000H
在这里插入图片描述
C32ASM跟进,查看第一个IBR结构体。
需要进行重定位的块的起始RVA:1000H
在这里插入图片描述
针对此块的IBR的大小:68H即104B
在这里插入图片描述
则TypeOffset数组的大小为:104B - 8B = 96B,数组项数为 96B / 2B = 48项
TypeOffset数组如下:
在这里插入图片描述
TypeOffset[0]:301DH,即重定位类型为3,需要重定位的RVA在101DH
TypeOffset[1]:3022H,即重定位类型为3,需要重定位的RVA在1022H
在这里插入图片描述

两个地址分别转FO为:61DH和622H

查看其首选基地址(镜像基址)为6C0C0000H
在这里插入图片描述

OllyICE加载,因为代码段偏移是1000H,则知其被加载到了首选基地址处
在这里插入图片描述
进而可以看到其地址不需进行修正:
在这里插入图片描述
如果没有加载到首选基地址处,就需要修正了。

无名J0kзr
关注
专栏目录
小甲鱼PE详解之基址重定位详解(PE详解10)
07-29 4943
上一讲:小甲鱼PE详解之输出表(导出表)详解今天有一个朋友发短消息问我说“老师,为什么PE格式要讲的这么这么细,这可不是一般的系哦”。其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做,主要原因是因为PE结构非常重要,再说做这个课件的确是
笔记:PE结构(7)重定位表解析
Q324411601的博客
09-03 207
笔记:PE解析(7)重定位
PE格式详细讲解10 - 系统篇10|解密系列
weixin_34009794的博客
07-05 156
PE格式详细讲解10 -系统篇10 让编程改变世界 Change the world by program 今天有一个朋友发短消息问我说“老师,为什么PE格式要讲的这么这么细,这可不是一般的细哦”。 其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做。 主要原因是因为PE结构非常重要,再说做这个课件的确是很费神的事哈。 在这里再次...
PE结构&基址重定位
寻梦&之璐
02-03 8114
重定位表定位 重定位表为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中, 重定位表所在地址RVA=0x1F000 重定位数据大小=39C RVA转FOA后可以得到文件偏移地址为0x9800 重定位表项IMAGE_BASE_RELOCATION 与导入表类似,重定位表指针指向的位置就是一个数组,而不像导出表一样只有一个结构,这个数组的每一项都是如下结构: IMAGE_BASE_RELOCATION STRUCT VirtualAddress dd ? ;重定位内存页的起始RV
PE文件基址重定位
SauceJ的专栏
09-01 1281
PE文件基址重定位(Base Relocation),程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的,因此连接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,
PE 重定位
加号减减号的博客
05-04 1485
PE 重定位简述 基址重定位表 IMAGE_BASE_RELOCATION TypeOffset 重定位地址计算 重定位过程总结 参考资料 PE 重定位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然...
基址重定位
Mi1k7ea
06-09 1919
基址重定位表(Base Relocation Table),记录PE重定位时需要修改的硬编码地址的位置。一般地,向进程的虚拟内存加载PE文件(EXE、DLL、SYS)时,文件会被加载到PE头的ImageBase所指的地址处。若加载的文件为DLL或SYS,且ImageBase位置加载了其他DLL或SYS文件时,则会进行PE重定位PE重定位是指PE文件无法加载到ImageBase所指位置时,而加载到...
PE文件:重定位表(为什么需要重定位和如何重定位
weixin_43742894的博客
03-31 1270
**为什么重定位?** 重定位就是修正PE文件的地址。 PE文件有着默认的基址(ImageBase默认为0x40000000),理论上当PE要加载的时候,就会占据这个地址,但是当这个地址因为一些原因,被占用而不能被加载时,PE文件就被加载到其他地方了,这时候就需要基址重定位了。
PE结构->【基址重定位
u011513939的博客
06-22 1049
在这里再次强调一下,只要是windows操作程序,其就要遵循PE格式,再说人家看雪的网址就是www.pediy.com。这一节对于讲来研究病毒原理的研究影响比较大,大家务必要深入理解~但是吧,咱的权威教材看雪的《加密与解密》在这一节的讲解上实在不给力,很多初学者看得云里雾里的。大家意见一致啵 ?!问题一:什么是基址重定位?答: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地
基址重定位
qq_45444695的博客
02-06 1450
基址重定位概念 当向程序的虚拟内存加载PE文件时,文件会被加载到ImageBase所指向的地址。 对EXE文件来说,EXE文件会首先加载到内存,每个文件总是使用独立的虚拟地址空间,这就意味着EXE文件不用考虑基址重定位问题; 对于DLL文件来说,多个DLL文件使用调用其本身的EXE文件的地址空间,不能保证ImageBase所指向的地址没有被其他DLL文件占用,所以DLL文件当中必须包含重定位信息,...
dll基地址重定位
hxp1994的专栏
07-10 1300
1、定义 基地址重定位:当进行多个dll动态库合起来编译成一个exe文件的时候,每个dll和exe都有默认的基地址,当加载器加载exe的时候,其实的某个dll会发生基地址改变,因此当加载完后,之前dll里面的指令和加载之后的不一样,导致映像文件里的机器代码指令(包含的硬编码地址)与加载后的不一样,此时需要通过rebase进行基地址重定位。 2、常出现的地方&常见的打印错误方式 常出现...
操作系统基础知识--内存管理之程序的重定位
weixin_46866349的博客
12-09 1462
程序为什么需要重定位 第一步: 编译——从C到汇编 第二步:汇编与链接——从汇编到可执行程序 最后装载程序到内存中,问题: 如何装载?也就是说程序在内存中如何存放? 程序怎么能正确开始? 1、将代码段放在内存中从0开始的地方 2、将数据段放在内存中从288开始的地方 3、设置PC=0 如果内存中从0开始的一段内存有专门的用途怎么办? 如存放中断处理程序 需要重定位! 重定位: 为执行程序而对其中出现的地址所做的修改 程序重定位的时机 ...
亲手教你改PE文件之加载基址的新玩法
蚁景网安学院
11-29 1118
走过路过,不要错过这个公众号哦!1.文章简介:通过本文,读者可以了解PE文件的PE头组成结构,以及动手修改镜像基地址和大小,来理解对整个PE文件的影响,本文通过对系统自带工具calc,...
模块基地址重定位和绑定
比尔丁子
05-22 1148
模块基地址重定位和绑定:可减少应用程序的载入时间。 模块基地址重定位: 当默认基地址冲突的时候,程序会被迫改变基地址,这样会效率很低,所以可以设置不同的基地址来避免。 方式1: 在项目属性中设置 Configuration Properties/Linker/Advanced Base Address : 0x20000000 方式2: 使用rebase.e
WIN32 PE结构 重定位
whl0071的专栏
02-25 227
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址被应用程序占据了或者被其它的DLL占据了,也是很正常的,这时它就不得不进行重定位了。 哪些数据需要重定位: :00401000 55...
WindowsPE权威指南-PE文件头中的重定位
weixin_30457065的博客
02-19 211
PE加载的过程 任何一个EXE程序会被分配4GB的内存空间,用户层处理低2G的内存,驱动处理高2G的内存。 1、双击EXE程序,操作系统开辟一个4GB的空间。 2、从ImageBase决定了加载后的基址,ImageSize决定了程序有多大。 3、然后加载DLL 大体流程: 1、PE被执行时,装载器为进程分配虚拟地址空间,在此情况下,并不是把完整的PE文件载入到磁盘中,而是做一个简单的...
我认识的PE文件之基地址
知其所以然
07-10 2535
什么是PE文件?摆个连接吧,人家比我专业呢 PE文件:http://baike.baidu.com/view/1087038.htm -----------------------------------------------------------------------------------------------------------------------------------
微软PE文件格式详解:Windows可执行文件规范
4. **重定位**:由于PE文件可能在不同的内存地址加载,因此需要重定位信息来修正代码和数据的地址。 5. **资源**:Windows程序可以包含各种资源,如位图、图标、字符串、菜单和对话框定义,这些都是通过资源节存储...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值