基址重定位表

最新推荐文章于 2024-06-08 14:37:27 发布
最新推荐文章于 2024-06-08 14:37:27 发布
阅读量153 收藏
点赞数
分类专栏: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wk19951125/article/details/104280691
版权

基址重定位表

PE重定位

PE重定位:向进程的虚拟内存加载PE文件(EXE\DLL\SYS)时,文件会被加载到PE头指定的ImageBase所指定的地址处。若加载DLL或SYS时,指定位置已经被占用,就会将其加载到其他未被占用的空间。

PE重定位操作原理

PE重定位的基本操作原理:

  • 在应用程序中查找硬编码的地址位置
  • 读取值后,减去ImageBase
  • 加上实际加载地址

基址重定位表

  • 用于查找硬编码的地址位置
  • 位于PE头的DataDirectory数组的第六个元素

IMAGE_BASE_RELOCATION结构体

typedef struct _IMAGE_BASE_RELOCATION{
	DWORD VirtualAddress;        //基准地址
	DWORD SizeOfBlock;           //重定位块的大小
	DWORD TypeOffset[1];         
} IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

计算

【 V i r t u a l A d d r e s s + O f f s e t 】 − I m a g e B a s e + 实 际 加 载 地 址 【VirtualAddress+Offset】-ImageBase+实际加载地址 VirtualAddress+OffsetImageBase+
【】代表这个地址存储的值

参考文献

《逆向工程核心原理》

你的名字5686
关注
专栏目录
PE 重定位
加号减减号的博客
05-04 1502
PE 重定位简述 基址重定位 IMAGE_BASE_RELOCATION TypeOffset 重定位地址计算 重定位过程总结 参考资料 PE 重定位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然...
基址重定位
weixin_33805743的博客
06-13 174
一、需要重定位的原因 http://blog.sohu.com/s/NDg4ODAyODQ/179103126.html   二、需要重定位的指令 但凡涉及到直接寻址的指令都需要进行重定位处理 http://blog.sohu.com/s/NDg4ODAyODQ/179103126.html   三、参考 http://blog.csdn.net/misskissc/arti...
PE格式详细讲解10 - 系统篇10|解密系列
weixin_34009794的博客
07-05 159
PE格式详细讲解10 -系统篇10 让编程改变世界 Change the world by program 今天有一个朋友发短消息问我说“老师,为什么PE的格式要讲的这么这么细,这可不是一般的细哦”。 其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做。 主要原因是因为PE结构非常重要,再说做这个课件的确是很费神的事哈。 在这里再次...
基于基址重定位的快速域名压缩算法
05-06
为了提高压缩速率,从DNS数据特征方面对域名压缩的原理进行了剖析,并在此基础上结合重定位技术,提出一种新的域名压缩算法.新的设计改变了传统的DNS数据处理流程,通过压缩前置,降低了应答的实时消耗.实验结果明...
笔记:PE结构(7)重定位解析
Q324411601的博客
09-03 223
笔记:PE解析(7)重定位
DLL重定位资源修改
07-14
当DLL的基址改变时,重定位会被用来修正DLL内部的相对地址,确保函数调用、数据访问等能正常工作。 "Rebaser.exe"这个文件很可能是用于手动或自动化调整DLL基址的工具。它允许用户指定DLL的新基址,然后修改DLL的...
PE文件格式学习(八):基址重定位(BaseRelocationTable)
tutucoo
11-07 1516
1.简介 基址重定位位于数据目录中的第六个,它位于安全的后面。 这个的作用是用来索引那些需要重定位的数据的。当系统发现DLL的真实加载基址跟PE文件中的ImageBase中的值不一样时,就会启用基址重定位修复一些数据的地址。我们知道一个程序中可能包含多个DLL,因此有可能多个DLL之间的ImageBase是重合的,一旦某个加载基址被占用了,系统就会随机分配一个基址给将要加载的DLL,比如...
重定位的添加/编辑/删除工具
05-14
自己写的用于重定位的添加/编辑/删除工具
PE结构&基址重定位
寻梦&之璐
02-03 8124
重定位定位 重定位为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中, 重定位所在地址RVA=0x1F000 重定位数据大小=39C RVA转FOA后可以得到文件偏移地址为0x9800 重定位项IMAGE_BASE_RELOCATION 与导入类似,重定位指针指向的位置就是一个数组,而不像导出一样只有一个结构,这个数组的每一项都是如下结构: IMAGE_BASE_RELOCATION STRUCT VirtualAddress dd ? ;重定位内存页的起始RV
《windows核心编程系列》二十一谈谈基址重定位和模块绑定
系统运维
12-09 176
每个DLL和可执行文件都有一个首选基地址。它示该模块被映射到进程地址空间时最佳的内存地址。在构建可执行文件时,默认情况下链接器会将它的首选基地址设为0x400000。对于DLL来说,链接器会将它的首选基地址设为0x10000000,然后将该地址以及代码、数据的相关地址都写入它们的PE文件中。当它们被加载时,加载程序读取首选基地址的值,并试图把它们加载到相应位置。 对于可执行文件和DLL中的代码...
PE文件格式学习(八):基址重定位
11-08 285
1.简介 基址重定位位于数据目录中的第六个,它位于安全的后面。 这个的作用是用来索引那些需要重定位的数据的。当系统发现DLL的真实加载基址跟PE文件中的ImageBase中的值不一样时,就会启用基址重定位修复一些数据的地址。我们知道一个程序中可能包含多个DLL,因此有可能多个DLL之间的ImageBase是重合的,一旦某个加载基址被占用了,系统就会随机分配一个基址给将要加载的D...
PE结构->【基址重定位
u011513939的博客
06-22 1054
在这里再次强调一下,只要是windows操作程序,其就要遵循PE格式,再说人家看雪的网址就是www.pediy.com。这一节对于讲来研究病毒原理的研究影响比较大,大家务必要深入理解~但是吧,咱的权威教材看雪的《加密与解密》在这一节的讲解上实在不给力,很多初学者看得云里雾里的。大家意见一致啵 ?!问题一:什么是基址重定位?答: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地
操作系统基础知识--内存管理之程序的重定位
weixin_46866349的博客
12-09 1483
程序为什么需要重定位 第一步: 编译——从C到汇编 第二步:汇编与链接——从汇编到可执行程序 最后装载程序到内存中,问题: 如何装载?也就是说程序在内存中如何存放? 程序怎么能正确开始? 1、将代码段放在内存中从0开始的地方 2、将数据段放在内存中从288开始的地方 3、设置PC=0 如果内存中从0开始的一段内存有专门的用途怎么办? 如存放中断处理程序 需要重定位! 重定位: 为执行程序而对其中出现的地址所做的修改 程序重定位的时机 ...
第十六、十七章 基址重定位
最新发布
qq_45850212的博客
06-08 225
每个模块都会默认加载到PE头的Image Base的虚拟地址处,如果多个模块的默认基址相同,那么会发生冲突。假设一个模块内部的汇编指令引用了一个“绝对地址”(虚拟地址VA),这条汇编指令正确引用数据当且仅当这个模块按照Image Base加载进内存。但是由于冲突的存在,我们需要修改这条指令所引用的数据的虚拟地址,这就是基址重定位
页氏地址重定位操作系统
05-13
页式地址重定位操作系统是一种常见的内存管理技术,通常用于将虚拟内存地址转换为物理内存地址。在这种系统中,内存被划分为大小相等的页框,而程序使用的内存也被划分为相同大小的页面。每个页面都有一个唯一的页号...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值