PE_重定位表

最新推荐文章于 2022-08-07 20:29:37 发布
最新推荐文章于 2022-08-07 20:29:37 发布
阅读量318 收藏 4
点赞数
分类专栏: PE
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/115439595
版权

重定位表

概述

加载PE文件到虚拟内存时,EXE默认IMAGEBASE一般为400000,DLL默认IMAGEBASE一般为10000000。

  • 一般情况下,EXE都是可以按照ImageBase的地址进行加载的.因为Exe拥有自己独立的4GB 的虚拟内存空间。 但DLL 不是 DLL是有EXE使用它,才加载到相关EXE的进程空间的。

  • 为了提高搜索的速度,模块间(各个Dll之间)地址也是要对齐的模块地址对齐为10000H 也就是64K。

为什么需要重定位表存在?

运行一个程序一般需要多个DLL文件,如果都按默认位置加载,则造成冲突。这时就需要重定位表根据RVA为数据重新分配位置。(说白了一般程序加载都写死代码位置,比如全局变量等。所以需要根据RVA重新调整位置。)

  • 如果程序能够按照预定的ImageBase来加载的话,那么就不需要重定位表。这也是为什么exe很少有重定位表,而DLL大多都有重定位表的原因。
  • 一旦某个模块没有按照ImageBase进行加载,那么所有类似上面中的地址就都需要修正,否则,引用的地址就是无效的。
  • 一个EXE中,需要修正的地方会很多,那我们如何来记录都有哪些地方需要修正呢? 答案就是重定位表。

如果在代码编写中使用重定位技术,你就可以将代码随意地部署到内存中,而不影响程序的运行。

重定位表定位

重定位表为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中。
Size没什么用。
在这里插入图片描述

重定位表项IMAGE_BASE_RELOCATION结构

IMAGE_BASE_RELOCATION	STRUCT
	VirtualAddress			dd	?	;重定位内存页的起始RVA
	SizeOfBlack				dd	?	;重定位块的长度
IMAGE_BASE_RELOCATION ENDS

结构详解

结构详解:
重定位表项都以块来分类,便于空间的节约紧凑。
在这里插入图片描述高四位补充(主要记住0 && 3含义就可以):
在这里插入图片描述在实际的PE文件中,我们只能看到0和3这两种情况,也就是说这一项要么是对齐用,要么是需要全部全部修正。

定位实例

1.找数据目录第6项

RVA = 0x4000
SIZE=0xB4
FOA=0xC00

2.获得表项
在这里插入图片描述
第一项RVA = 0X1000
SizeOfBlock = 0XB4
可得第一块重定位项数:(0xB4-8)/2 = 0x56=86D

3.以第一项2字节(0x3036)为例
在这里插入图片描述在这里插入图片描述
3036确实是需要修正的数据。

实际VA = imagebase + 第一项RVA(0X1000) + 低12位值

在这里插入图片描述
得出:实际VA=0x00101036

4.验证调用此模块的数据,查看0x00101036位置
在这里插入图片描述
在这里插入图片描述写死全局变量的位置,所以此处必须修正。

hercu1iz
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构】重定位
SMOne
06-30 1746
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 八、资源 九、重定位 1.概念 重定位 存的是PE文件中需要修改(变量数据)的地址的位置。 全局变量和局部静态变量在PE文件数据段中。 程序代码在寻址这些变量时,用的不是偏移RVA,而是直接地址VA。 2.使用规则 我们知道VA=基址+RVA,而基址默认是...
PE重定位
不会写代码的丝丽
04-10 1108
前言 首先看一个问题,假设我们的某个EXE/DLL首选加载地址是0x10000,但实际由于随机基质等原因实际加载地址与首选地址产生的偏移。 我们首先看一个exe的静态反编译结果 我们看到00411E98这个地址的反汇编指令是MOV EAX,[41A014H] 我们再看看动态加载这个EXE后的结果 这个你可以明显看到这个指令变成了eax dword ptr[09FA014h],这个读取地址从41A014H到09FA014h变化。这就是因为基地址实际装载有变化因此需要对于实际地址的命令做出改变。 为了解
PE 重定位
加号减减号的博客
05-04 1316
PE 重定位简述 基址重定位 IMAGE_BASE_RELOCATION TypeOffset 重定位地址计算 重定位过程总结 参考资料 PE 重定位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然...
pe 文件编程:清除文件头中的重定位.rar_pe_清楚重定位
09-21
当我们谈论“清除文件头中的重定位”,这通常是指对PE文件进行修改,移除或禁用重定位信息,以便在某些特定场景下优化或调整文件的行为。 首先,我们需要理解PE文件结构。PE文件由多个段组成,包括代码段、数据段...
PE结构中重定位的分析.rar
01-10
PE文件结构包含了众多的组件和元数据,其中“重定位”(Relocation Table)是关键部分之一,它在程序加载到内存时起着至关重要的作用。这个压缩包文件“PE结构中重定位的分析.rar”似乎提供了关于这个主题的深入...
PE重定位练习
10-07
PE重定位是一项关键的进程加载技术,它涉及到在内存中正确放置代码和数据,以便程序能正常运行。当我们谈论"PE重定位练习"时,这通常是指通过实践来学习如何理解和处理PE文件的内存布局调整。 PE文件由多个部分组成...
PE文件重定位信息编辑工具 v1.0 绿色免费版.zip
03-25
PE文件重定位信息编辑工具是一款编程工具类软件,有了它以后,用户在编辑PE文件时就不需要每次都去查看重定位的内容了,非常的方便和实用,喜爱的朋友赶快下载体验吧! 官方介绍 PE文件重定位信息编辑工具是一款...
重定位1
08-03
重定位PE(Portable Executable)文件格式中一个关键的数据结构,它在调试版本、动态链接库以及使用了/FIXED:NO链接选项的发布版程序中起着至关重要的作用。PE文件是Windows操作系统上执行程序和库的标准格式。...
PE获取导出 导入 资源 重定位
11-30
使用VS2012 编写 DLL封装函数PE结构的操作 win32 控制台程序调用并显示 函数原型 typedef PIMAGE_SECTION_HEADER (*GetSectionHead) (PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_IMPORT_DESCRIPTOR (*GetImportHead) (LPVOID iBase,PIMAGE_NT_HEADERS NtHead); typedef int* (*GetAllImportDll) (LPVOID iBase,PIMAGE_NT_HEADERS NtHead,int Index); typedef int (*GetimportDllCount) (LPVOID iBase,PIMAGE_NT_HEADERS Nthead); typedef VOID (*GetImportDllName) (LPVOID iBase,PIMAGE_NT_HEADERS NtHead,char ** NameAddr); typedef int ** (*GetImportDllAddress) (LPVOID iBase,PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_THUNK_DATA (*GetImportThunkHead)(LPVOID iBase,PIMAGE_NT_HEADERS NtHead,int Index); typedef char ** (*GetImportDllFuncName)(LPVOID iBase,PIMAGE_NT_HEADERS NtHead,int Index,int Count); typedef int (*GetImportDllNameCount)(LPVOID iBase,PIMAGE_NT_HEADERS NtHead,int Index); 详细代码 新手学习必备!
PE文件解析--重定位
qq_31125257的博客
12-22 491
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
PE文件重定位
lookerson的专栏
09-12 4249
PE格式是Windows环境下可执行文件(如:exe,dll)的格式,而Windows下面的程序,例如动态链接库无法加载到它本身期望加载的地址的时候,便会发生重定位。那么,重定位是如何实现的呢?   一.PE文件格式的结构 PE文件主要是由PE头和PE体组成的,其中,PE头主要由DOS头, DOS存根,NT头:签名,NT头:文件头,NT头:可选头,节头组成, 而剩下的各节区组成PE体。其
PE结构之重定位
weixin_30462049的博客
11-13 163
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
PE文件(3)重定位
nyzdmc的博客
03-02 492
PE文件(3)重定位 重定位概念 程序编译时每个模块有一个优先加载地址ImageBase,这个值是链接器给出的,因此链接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,那么一旦程序没有将模块加载到ImageBase时,那么程序中的指令地址就需要重新定位,从而需要重定位的修正。   对于EXE应用程序来说,在自己独立的4G进程空间中,它是肯定加载到ImageBa...
WIN32 PE结构 重定位
whl0071的专栏
02-25 210
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址被应用程序占据了或者被其它的DLL占据了,也是很正常的,这时它就不得不进行重定位了。 哪些数据需要重定位: :00401000 55...
PE文件重定位
weixin_43575859的博客
03-17 349
要链接PE文件中的重定位的话,我们首先要知道哪些指令需要重定位,还有重定位的算法是怎样的。汇编中有些指令要用到内存地址,并且在编译的时候这些地址就固定在机器码里面了,如果我们程序的实际装入地址与模块的减一装入地址是相同的,那么这个指令就没问题,但是当实际装入地址与建议装入地址不相同时,如果没有重定位就会出问题了。 举个例子,假如我们在程序中写的代码是: mov eax,dword ptr [0...
PE结构学习(6)_重定位
xf555er的博客
08-07 246
当一个PE文件执行时会加载多个PE文件,而每个被加载的PE文件都有它在内存展开后的起始地址, 这个地址是由此PE文件的imagebase(基址)所决定的若前面的PE文件占用了后面PE文件的地址, 则后面的PE文件需要重新设置基址, 然后通过重定位对所有的重定位信息进行修改,而所有的重定位信息都存储在重定位中通常一个PE文件会有多张重定位。...
PE_PUL0和PE_DAT有啥区别
最新发布
06-13
PE_PUL0和PE_DAT都是PE文件中的数据目录项,但它们所代的信息不同。PE_PUL0代导出(Export Table),该包含了可供其他模块调用的函数和数据的名称以及地址信息;而PE_DAT代数据目录(Data Directory),该记录了PE文件中其他各种数据结构的位置和大小信息,如导入、资源重定位等。因此,PE_PUL0和PE_DAT在功能和作用上有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值