从可执行文件中删除.reloc字节

最新推荐文章于 2022-06-08 07:45:56 发布
最新推荐文章于 2022-06-08 07:45:56 发布
阅读量630 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43939527/article/details/89409621
版权

1、.reloc节区
EXE形式的PE文件中,“基址重定位表”项对运行没什么影响,将其删除后程序仍能正常运行(基址重定位表对DLL/SYS形式的文件来说几乎是必需的)。VC++中生成的PE文件的重定位节区名为.reloc,删除该节区后文件可正常运行,并且缩减了文件大小。.reloc节区一般位于所有节区的最后,可以使用PEView和Win Hex Editor来手动删除。
基址重定位表:
在PE文件中,基址重定位表一般放在一个单独的 “.reloc” 区,可以通过IMAGE_OPTIONAL_HEADER 中 的DataDirectory[5] 查看基址重定位表 的RVA。
在PEview中查看notepad.exe的基址重定位表地址。
1

2
基址重定位表的地址为RAV 10000。
1、删除.reloc节区头:先用PEView打开查看.reloc节区头信息:
可以看到.reloc节区头从文件偏移270开始,大小为28(270~297)。用Win Hex打开找到该区域,然后全部用0覆盖(Ctrl+L):

2、删除.reloc节区:文件中.reloc节区的起始偏移为C000,因此从C000开始一直使用Win Hex删除到文件末端所有数据即可(Del):

这样,.reloc节区即被物理删除。但由于尚未修改其他PE头信息,文件仍无法正常运行。因此需要修改相关PE头信息,使文件最终能够正常运行。
删除之后如下:
3、修改IMAGE_FILE_HEADER:删除一个节区后,要修改IMAGE_FILE_HEADER的Number of Sections项,如图,当前该项值为5,修改为4:
用Win Hex修改:
4、修改IMAGE_OPTIONAL_HEADER:删除.reloc节区后,整个映像大小缩减了,映像大小的值保存在IMAGE_OPTIONAL_HEADER的Size of Image项中,需要对其进行修改。
可以看到,当前该项值为11000,而由之前的.reloc节区头可知其VirtualSize值为E40


然后将其根据Section Alignment扩展后变为1000,所以应当从Size of Image项减去1000而不是E40:11000 - 1000 = 10000
保存之后,程序能够正常运行
未删除.reloc节区的程序运行后结果为
未删除.reloc节区
删除.reloc节区后运行结果为
删除.reloc节区后
而且,通过查看两个可执行文件的大小可以看到删除节区后的可执行文件较小
文件大小

桃子味奶茶
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
可执行文件删除.reloc节区
wk19951125的博客
02-13 799
可执行文件删除.reloc节区.reloc节区reloc.exe删除.reloc节区头删除.reloc节区修改IMAGE_FILE_HEADER修改IMAGE_OPTIONAL_HEADER参考文献 .reloc节区 EXE形式的PE文件“.reloc”项对运行没什么影响 对DLL和SYS而言“.reloc”项则是必须的 .reloc一般位于所有节区的最后 reloc.exe 删除.re...
PE 文件.reloc删除记录
ez scope
04-02 2592
PE文件是windows 下的一种可移植执行体,其设计目的使用来解决跨平台问题(但实际上只是在windows下使用)。通常在windows下使用的.exe .dll .sys等文件都是PE文件,符合PE文件格式规范,有其自身的格式。不熟悉的朋友也可以网上查找相关资料。 PE文件的.reloc 节 即是使用了PE重定位技术。PE加载到进程虚拟地址时,会加载到PE的IMAGE_OPTIONAL_H
可执行文件手动删除.reloc
极深研几
12-07 1495
1.整理reloc节区头 2.删除.reloc节区
exe重定位清除,主要让WIN7的动态基址不起作用
pklong008的博客
07-29 5639
若EXE有重定位表,在属性里将重定位已分离勾上,同时将重定位表的数值清零,OK,WIN7再也不用将EXE动态基址了。爽.原文在看雪: 标 题: 【原创】【脱壳修复】win7下简单处理重定位表 作 者: xhbuming 时 间: 2015-04-23,15:14:40 链 接: http://bbs.pediy.com/showthread.php?t=199895 操作
reloc.exe
11-11
reloc.exe
安卓6.0串口库文件libserial_port.so
03-29
官方提供的android-serialport-api-master包,无法兼容安卓6.0平台开发,打开串口直接停止运行。覆盖库文件后问题完美解决,亲测可用。
Python库 | reloc-0.0.5-py3-none-any.whl
02-19
python库,解压后可用。 资源全名:reloc-0.0.5-py3-none-any.whl
reloc_table_c6000.rar_驱动编程_Unix_Linux_
08-11
DSP-BIOS Bridge driver support functions for TI OMAP processors.
PyPI 官网下载 | reloc-0.0.5-py3-none-any.whl
01-07
资源来自pypi官网。 资源全名:reloc-0.0.5-py3-none-any.whl
PE格式系列_0x05:输出表和重定位表(.reloc)
可乐松子的博客
06-08 713
输出表简单理解就是一个表格,记录输出函数的信息 流程:PE装载器访问PE文件输出表时,通过获取一个函数的地址,通过获取一个函数的名称,但是此时还没有建立对应关系,通过来建立名称和地址的联系示例1:DllDemo只有一个导出函数MsgBox 使用PE工具查看输出表示例2:kernel32.dll的输出表汇总查看 2.基址重定位表 通常重定位表只有dll文件和开了ASLR的exe才需要关心,因为此时不能保证加载时默认的装载地址不会被其他模块占用简单理解,对于PE加载器来说,他不关心需要修正的地址的具体用途,只
写一个PE的壳_Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc
可乐松子的博客
05-26 3479
文章目录Part 2:输入表和重定位表1.ASLR预备知识2.输入表支持detail 1:什么是输入表?detail 2:PE Header描述detail 3:真实的输入表detail 4:编程处理数据结构编程实现扩展:LIEF重建Import Table介绍3.管理重定位表detail 1:什么是重定位表?detail 2:重定位表结构detail 3:编程处理4.结果展示5.参考 Part 2:输入表和重定位表 本文主要处理Part 1遗留的2张表:输入表和重定位表(执行一个ASLR使能的文件不
DLL引入表重定位 .reloc
haungrui的专栏,水底深呼吸
03-27 4230
   前几天日,在做彩虹显IP补丁程序的时候,需要将原格式化字符串从"%d.%d.*.*"修改成"%d.%d.%d.%d"以使其能显示完整的IP,在补丁代码需要引用该字符串,于是直接从原代码copy了一段引用该字符串的代码。头几天还能正常工作,不知什么原因程序突然无法运行了,打开调试器跟踪才发现问题就出在对字符串的引用上,模块载入后的基址与前几天相比发生了改变,补丁对字符串的引用指向了一个无
基址重定位表&.reloc节区
weixin_30273763的博客
12-10 265
第16-17章 - 基址重定位表&.reloc节区 @date: 2016/11/31 @author: dlive 0x01 PE重定位 若加载的是DLL、SYS文件,且在ImageBase位置处已经加载了其他DLL/SYS文件,那么PE装载器就会将其加载到其他未被占用的空间。这就涉及了PE文件重定位问题,PE重定位是指PE文件无法加载到ImageBase位置,而被加载到其他地址时发生的...
windows PE Image 文件分析(6)--- .reloc 节与 base relocation table
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-11 3087
.reloc 节和 base relocation table 仅存在于 Image 文件,用于当映像被加载运行的 ImageBase 改变后,对映像内的使用的地址进行重定位。 需要进行 ImageBase 重定位的映像性能会变得很糟糕。32 位的应用程序在 64 位系统上运行就是一个典型的例子。 下面以前面的 32 位 helloworld.exe 映像为例子   1. ImageBa
pe文件节区的删除和增加
m0_62690279的博客
04-10 1424
pe文件节区的删除和增加 节区(.reloc)的删除(按照《逆核》书的步骤来进行) 整个过程需要四个步骤: 1.删除节区头 2.删除节区 3.修改节区数(number of section) 4.修改映像大小(size of image) 删除节区头 在hxd找到rva从270到297区域,用0填充 删除节区内容 在hxd找到poiner to raw data(磁盘地址c000),删除其后面的所有内容 修改节区数量 找到文件头的 number of section 同样在hxd修改其
windows程序逆向笔记(一)
xiaotu0821的博客
12-16 1670
1.吾爱破解 l 按钮-程序运行的日志、插件加载的信息查看 e 按钮-模块信息,程序加载的所有模块、库 都可以看到路径等 双击就可以看到基地址 m 按钮-内存信息 对于 e按钮 的各个模块的基地址等 t 按钮-线程信息 w 按钮-窗口信息 h 按钮- 一些句柄的信息 c 按钮-反汇编窗口 或者双击 从寄存器的 EIP shift+加号回到之前的位置 p 按钮-记录修改信息 可以在这做还...
如何删除基址的重定位表----记一次对RAR软件的基址重定位删除实践
12-29 295
工具: 1.PETool 2.HxD 步骤: 1.PE查看rar程序的结构: 重定位的具体信息如下: 2.删除.reloc的节区头 从地址278开始,删除到29c+3 这部分清零。 3.删除.reloc节区 ...
import com.google.firebase.crashlytics.buildtools.reloc.org.apache.http.client.methods.HttpPost;失败
最新发布
05-04
您可以尝试将以下代码添加到您的项目,以使用新的 HTTP 客户端发送 POST 请求: ```java import java.net.URI; import java.net.http.HttpClient; import java.net.http.HttpRequest; import java.net....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值