模仿系统PE重定位实现

最新推荐文章于 2022-10-27 14:56:33 发布
最新推荐文章于 2022-10-27 14:56:33 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 安全与破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windows_nt/article/details/30452897
版权 

pRelocTable=&(pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]);
//得到第一个重定位块
pRelocBlock=(PIMAGE_BASE_RELOCATION)(hModule+pRelocTable->VirtualAddress);
//开始处理所有重定位数据
do
{//处理一个接一个的重定位块,最后一个重定位块以RAV=0结束
//需要重定位的个数,是本块的大小减去块头的大小,结果是以DWORD表示的大小
//而重定位数据是16位的,因此除以2
int numofReloc=(pRelocBlock->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))/2;
//printf("Reloc Data num=%d\n",numofReloc);
//重定位数据是16位的
WORD minioffset=0;
WORD *pRelocData=(WORD*)((char*)pRelocBlock+sizeof(IMAGE_BASE_RELOCATION));
for (i=0;i<numofReloc;i++)//循环,或直接判断*pData是否为0也可以作为结束标记
{
   DWORD *RelocAddress=0;//需要重定位的地址
   //重定位的高4位是重定位类型,
   if (((*pRelocData)>>12)==IMAGE_REL_BASED_HIGHLOW)//判断重定位类型是否为IMAGE_REL_BASED_HIGHLOW
   {
    //计算需要进行重定位的地址
    //重定位数据的低12位再加上本重定位块头的RAV即真正需要重定位的数据的RAV
    minioffset=(*pRelocData)&0xFFF;//小偏移
    //模块基址+重定位基址+每个数据表示的小偏移量
    RelocAddress=(DWORD*)(hModule+pRelocBlock->VirtualAddress+minioffset);
    //对需要重定位的数据进行修正
    //修正方法:减去IMAGE_OPTINAL_HEADER中的基址,再加上实际基址即可
    *RelocAddress=*RelocAddress-pOptHeader->ImageBase+hModule;
   }
   //指向下一个重定位数据
   pRelocData++;
   
}
   //指向下一个重定位块
   pRelocBlock=(PIMAGE_BASE_RELOCATION)((char*)pRelocBlock+pRelocBlock->SizeOfBlock);

}while (pRelocBlock->VirtualAddress);


codinglf
关注
专栏目录
目标检测YOLO实战应用案例100讲-智能目标检测系统在FPGA中的设计与实现
qq_36130719的博客
06-06 2269
本文结合FPGA芯片的高并行、低功耗、可重配置等优势,对基于卷积神经网络结构的目标检测算法,在端侧场景下的加速与部署进行研究与实现。本章节对本文涉及到的基本理论知识与技术手段进行介绍,为后续系统的方案分析与系统设计奠定理论基础。首先,介绍了卷积神经网络的基本组成部分及其原理。然后,对FPGA及其开发技术进行简单介绍。最后,对当前常用的部分基于FPGA的卷积神经网络加速方法进行概述。
C++软件开发值得推荐的十大高效软件分析工具
最新发布
dvlinker的技术专栏
10-31 2万+
C++软件开发值得推荐的十大高效软件分析工具
Pe研究之:从内存中加载Pe文件(代码重定位,进程隐藏,代码注入)
Dustfly的专栏
08-17 1万+
  Pe研究之: 从内存中加载Pe文件 作者:Sunline              lisunlin0@yahoo.com.cn 日期:2007年7月关键字:代码重定位,代码注入,远程代码, 加载exe文件, 加载dll文件Remotthread, injectcode, relocation code, load dll from memory, load pe
小甲鱼PE详解之基址重定位详解(PE详解10)
yuanlanjun
07-25 221
小甲鱼PE详解之基址重定位详解(PE详解10)这一节对于讲来研究病毒原理的研究影响比较大,大家务必要深入理解~ 但是吧,咱的权威教材看雪的《加密与解密》在这一节的讲解上实在不给力,很多初学者看得云里雾里的。大家意见一致啵 ?! 为了让大家能够更容易的接受,小甲鱼决定通过自问 - 自答循环渐进的模式给大家讲解基址重定位的原理和应用。问题一:什么是基址重定位? 答:重定位就是你本来这个程序...
PE格式解析-重定位表分析
走在成长的路上
12-28 1089
PE格式中的重定位表进行分析
PE文件结构(四)
weixin_34026484的博客
09-20 96
PE文件结构(四) 9.重定位(relocations)-----------------------我将要描述的最后一个数据目录是基址重定位目录。它是由可选头数据目录中的IMAGE_DIRECTORY_ENTRY_BASERELOC(基址重定位目录项)项来指向的。典型的,它包含在自己的节中,名字象“.reloc”这样,并且IMAGE_SCN_CN...
PE文件学习(四)基址重定位
SanSiro1的博客
08-27 2120
数据目录的IMAGE_DIRECTORY_ENTRY_BASERELOC项指向此结构,由于在Windows系统中DLL(动态链接库)文件并不是每次都能加载到预设的基址(ImageBase)上,因此基址重定位主要应用于DLL文件中。       一般情况下重定位表位于一个名为.reloc的区块内,PE文件中的重定位结构是由多个IMAGE_BASE_RELOCATION子结构组成的,每个子结构只负责
操作系统内核Hack:(二)底层编程基础
西代零零发
10-09 7546
操作系统内核Hack:(二)底层编程基础在《操作系统内核Hack:(一)实验环境搭建》中,我们看到了一个迷你操作系统引导程序。尽管只有不到二十行,然而要完全看懂还是需要不少底层软硬件知识的。本文的目的就是跟大家一起学习这一部分知识,本着够用就行的原则,不会完全铺开来,只要能让我们顺利走完未来的操作系统内核Hack之旅就可以了。1.开篇:“古怪”的80386如果大家跳过这一部分直接看本文后面的部分,或
操作系统内核Hack:(三)引导程序制作
西代零零发
10-25 6909
操作系统内核Hack:(三)BootLoader制作关于本文涉及到的完整源码请参考MiniOS的v1_bootloader分支。1.制作方法现在我们已经了解了关于BootLoader的一切知识,让我们开始动手做一个BootLoader吧!但真正开始之前,我们还要做出一个选择,在之前的讨论中我们曾说过,有两种学习和制作引导程序和操作系统内核的路线:1)《Orange’s:一个操作系统实现》书中的路线
免杀基础之一文学废PE文件格式
Gamma_lab的博客
03-31 4694
前言 PE文件的全称是Portable Executable ,意为可移植的可执行文件,常见的有EXE,DLL,SYS,COM,OCX,PE文件是微软Windows操作系统上的程序文件。 简单来理解,就是一种数据结构。我们知道知道CPU只认识二进制数,所以可执行文件保存在磁盘中都是以二进制数保存的,不过为了查看,所以市面上的编辑器都是用16进制显示的,比如下面这样,使用010Editer打开一个PE文件: PE文件结构如下: 有的数据结构是用来执行的代码,有的数据结构是用来保存数据。 基础知识 基地址
PEPE文件结构学习
dr0op's blog
03-31 1342
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE头文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
PE文件结构解析
qq_41672971的博客
08-01 389
重定位表解析
重定位表详解
For Geek
05-10 3956
重定位表对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位表作为一个单独的区块放到区块表中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
PE-重定位
qq_51600802的博客
10-27 944
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
PE文件结构详解(三)PE导出表
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出表。
24. PE结构-PE详解之基址重定位详解
墨痕诉清风的博客
03-05 815
问题一:什么是基址重定位? 答:重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址重定位。打个比方:例如你现在计划在某某地方建一栋楼,但是有一天你收到上边的通知,这个地方政府临时要征用建公厕,所以这时候你就没辙,得去别的地方建啦~ 问题二:为什么需要基址重定位? 答:其实这个问题看起来跟前边的有点重复不是? 但是有些...
【2021.01.15】重定位
oalken的博客
01-15 247
什么是重定位表?为什么要有重定位表? 如上图 A.DLL 和 B.DLL 中某个或多个的全局变量编译时可能是相同的内存地址。 如果 A.DLL 先行加载,其中的某个全局变量抢占到了 0x00410000 这个内存地址。 B.DLL 因为后加载的原因,是从 0x00420000 处开始展开。此时,B.DLL 中如果有全局变量的地址也是 0x00410000 这个内存地址,就会出问题。 因为在调用 B.DLL 中某个全局变量的时候,如 0x00410000 地址的变量,但因为 B.DLL 不是从 0
PE文件结构详解<二>
xiaoxiaoyusheng2012的专栏
05-30 801
转自:http://blog.csdn.net/evileagle/article/details/12176797 PE导出表 上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,DataDirectory中的每一项都可以用这个函数
WiFi室内定位系统:设计、实现与优化
"一种基于WiFi的室内定位系统设计与实现" 本文探讨的是一种基于WiFi射频信号强度指纹匹配的室内定位系统,该系统旨在为移动设备提供高精度的室内定位服务。系统的核心在于设计了一种基于权重值选择的定位算法,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值