滴水三期：day37.1-重定位表

原创

已于 2023-04-22 03:27:19 修改 · 994 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#c++ #c #windows #二进制逆向 #PE结构

于 2023-04-11 00:18:25 首次发布

文章介绍了PE文件（如.exe和.dll）在内存中的加载过程，涉及到ImageBase、DLL装载地址冲突及如何通过重定位表解决冲突的问题。重定位表用于记录因装载地址改变而需要修正的数据，包括全局变量和函数地址。文章还解析了重定位表的结构，包括块、页和节的关系，并讨论了学习重定位表对于破解和反反调试的重要性。

一、引入重定位表

1.程序加载过程

每一个可执行程序运行都有一个独立的4GB虚拟内存（32位），地址从0x00000000到0xFFFFFFFF，低2G为用户程序空间、高2G为操作系统内核空间；且一个PE文件有很多个PE文件组成，如用OD打开ipmsg.exe文件
程序运行 --> 操作系统会给程序分4GB虚拟内存 --> 剩下的事情就像“拉伸贴图”一样（装载）：
- 先装载自身的.exe：如先把ipmsg.exe拉伸贴到ImageBase（0x00400000），分配空间大小为SizeOfImage（0x3D000）
  
  但并不是所有文件的ImageBase都是0x400000，这个值是可以修改的：打开VC->右键你的项目->setting->选择Link->Category设置为Output->在Base address选项中就可以自定义ImageBase，之后这个程序编译以后，ImageBase就变了
- 再装载需要用到的.dll：如把ws2help.dll拉伸贴到它的ImageBase（0x71A10000），分配空间大小为SizeofImage（0x8000）。其他.dll也是如此
- 最后把EIP指向EOP（AddressOfEntryPoint），这个程序就可以执行了

2.问题一：DLL装载地址冲突

一般情况下一个PE文件自身的.exe的ImageBase很少会和别的PE文件ImageBase发生冲突
但是.dll就不一定了：day35写过自己发布的DLL，默认情况下DLL的ImageBase为0x10000000，所以如果一个程序要用的DLL没有合理的修改分配装载起始地址，就可能出现多个DLL的ImageBase都是同一个地址，造成装载冲突
解决办法：如果一个DLL在装载时，发现其他DLL已经占用这块空间了，那么这个DLL会依据模块对齐粒度，往后找空余的空间存入，所以此时这个DLL的装载起始地址和它的ImageBase就不一致了（通俗讲叫"换位置"），怎么办呢？

模块对齐粒度：和结构体的字节对齐一样：为了提高搜索的速度（时间换空间），模块间地址也是要对齐的。模块对齐粒度为0x10000，也就是64K

3.问题二：编译后的绝对地址

一个.dll或.exePE文件中的全局变量，可能在编译完成后，全局变量的地址就写死了，即它生成硬编码时地址值为：ImageBase + RVA；相当于编译完成后，这个全局变量的绝对内存地址就写入PE文件了。如：这个文件中a（人为的全局变量）和%d（系统的全局变量），编译完后地址值都是写死的。
那假设如果这个PE文件在装载，没有按照预定的ImageBase装入，而是出现了问题一的情况–“换位置”，但由于这个地址值写死了，程序执行时任然会按这个绝对地址去寻找使用，就会出现找不到这个全局变量！怎么办呢？
不光是全局变量，DLL中有对外提供的函数，函数的地址在编译完后函数地址也是写死的，而如果此时DLL装载时ImageBase变了，这些写死的函数地址也就用不了，怎么办呢？

4.引入

所以如果一个PE文件可能会出现“换位置”的情况，那么就需要重定位表，来记录下来，有哪些地方的数据需要做修改、重新定位，保证“换位置”后，操作系统能正确找到这些数据
比如问题二中：这个PE文件也没有按照ImageBase去装载，那么全局变量a的存储地址就会发生变化，但是由于硬编码已经生成：A1 30 4A 42 00，那么重定位表就会把30 4A 42 00这个数据的地址记下来，等到运行时操作系统会根据重定位表找到这个数据，做一个重定位修改，即把0x00424a30这个绝对地址做修改，进行重定位，保证全局变量a可以被准确找到（修改的操作全程有操作系统负责）
为什么很多.exe不提供重定位表，.dll会提供？因为一个PE文件的.exe一般只有一个，且是最先装载，所以装载位置和ImageBase是一致的，也没人跟它抢；但是.dll有很多，就需要考虑装载的位置不是预期的位置，那么这个.dll就需要提供重定位表

二、重定位表结构

1.找重定位表

找到可选PE头中的数据目录项（结构体数组，有16个元素）：找到第6个结构体，就是重定位表的数据目录
根据重定位表数据目录的VirtualAddress，将RVA转成FOA，得到重定位表在ImageBuffer中的起始地址

2.重定位表结构

重定位表的结构比较特殊，直接看图理解：

struct _IMAGE_BASE_RELOCATION{
     
     
	DWORD VirtualAddress;
	DWORD SizeOfBlock;
    //一堆数据...（如果是最后一个这种结构，就只有RVA和SizeOfBlock，且都为0）
};

可以这么理解：一个重定位表中可能会有多个“块”，每个块的结构都是①4字节VirtualAddress、接着②4字节SizeOfBlock、最后是③一堆数据。每个块的大小为SizeOfBlock（字节）。
最后一个块的RVA和SizeOfBlock都是0x00000000，表示重定位表结束

1）SizeOfBlock

表示每个块的大小，单位为字节

2）具体项

看不懂的话，可以把VirtualAddress和具体项结合起来理解

一堆数据中，每两个字节叫一个具体项
一块中有多少个高4位为0011的具体项，就表示这个页当中有多少个地方需要做重定位修改
具体项占2字节，高4位表示类型：值为3，代表==低12位 + 该块的VirtualAddress==地址处的数据需要修改做重定位；值为0，代表这一2字节数据用来做数据对齐（填充用的），可以不用修改。
故我们只用关注高4位值为3的具体项就可以了。具体项的低12位表示要修改的地方相对于所在页的偏移地址（RVA）
一块中一共有多少个具体项：用（此块的SizeofBlock - 4 - 4 ）/ 2

3）VirtualAddress

宽度为4字节
为什么需要这个值：假如现在有10000个地方需要重定位，又因为4GB虚拟内存地址需要32位二进制数才能表示的下，即4字节，所以10000个地方要修改，就需要记录下这10000个地方的地址，一个地址4字节，共需大小10000 * 4 = 40000字节空间，按照这种方法记录，重定位表就需要40000 + 8字节，太大了！！
现在如果把一个PE文件分页（操作系统确实会这么干），内存中一个页的大小为0x1000字节，相当于把文件分成了一小页一小页的。
那么一页中如果有要重定位的地方，重定位表就会给这个页安排一块，这个块的VirtualAddress存储此页的偏移起始地址（RVA），由于一页的大小只有0x1000字节（4096），每个字节内存用一个地址表示，即用12位二进制数就可以表示的下4096个地址（比上面的32位二进制数要少的多！），前面学过内存对齐的概念，所以把这个值用16位存放，故具体项占16位，多出来的高4位可以用来表示其他的含义，低12位表示需要修改的地方相对于所在页的偏移地址！
综上所述：一页中如果有要重定位的地方，重定位表给此页安排一块（一块对应一页）；此块的VirtualAddress存储此页的起始地址；具体项占16位，高4位表示类型，低12位表示要修改的地方相对于所在页的偏移地址。
每一个数据项低12位的值 + VirtualAddress才是真正需要修复重定位的数据的RVA

3.页、块、节的关系

一个PE文件（可执行程序）运行时，装入虚拟内存中会对程序进行分页
重定位表会分块
一个程序有不同的节，跟分页和分块没有任何关系
可以用LordPE打开一个有重定位表的PE文件，查看重定位表

会发现：这个重定位表分了很多块，第175块中记录的是偏移地址为0xAF000的页中要修改重定位的地方，这些要修改的地方在.text节中；第176块中记录的是偏移地址为0xB000的页中要修改重定位的地方，这些要修改的地方在.data节中

三、为什么学重定位表

本人目前也不太会这些，所以就将海东老师的原话整理出来了，后面如果学习到此内容会进行修正补充

1.破解方面

加密壳：如果想对一个程序加加密壳之前，需要先将程序的各种表—导出表，导入表，重定位表等移动到新增的节当中，移走后对剩下的数据加密（所有的头和节表不能加密！DOS头，NT头，节表）。为什么呢？因为我们知道这些表其实分散在程序的某个节当中，如果直接对整个程序的数据加密，那么最后操作系统也找不到各种表了，无法加载用到的各种DLL了（比如找不到导入表，那么操作系统进行装载时，无法知道有哪些DLL要装到虚拟内存中），所以程序就无法执行
所以就需要对各种表非常熟悉，才知道从哪里移

2.反反调试

反调试：有些游戏公司为了避免别人调试，会在驱动层（0环）把很多函数加上钩子（hook），比如说有一个函数叫openprocess()，用来打开进程。而如果想调试任何进程，都需要先打开进程，像使用OD–>点击附加，本质上就是使用了0环的openprocess()这个函数，那么由于游戏公司给这个函数加上了钩子，在调用这个函数时，游戏就会判断这个函数的参数是否是游戏进程本身，是的话就返回一个0（NULL），不让别人看到它。所以使用OD点击附加–>找进程打开时，会发现游戏的进程根本不在这里面
反反调试：即过游戏驱动，一个比较常用的方式叫----内核重载，即把内核程序（0环）kernel.exe拉伸，把拉伸后的数据往内存中复制一份，只不过这个程序是0环的程序，用的是0环的语法，不能像我们平时在3环写程序用的语法。但是现在不允许把拉伸后的数据往内存复制，因为此时原来的kernel.exe已经把位置占着了，所以只能在它的后面一个模块中复制，这种情况不就和上文中的问题一一样，“换位置”了。那么这个程序中的所有绝对地址都不能用了，都必须要自己根据重定位表把要修正的数据修正重定位。那么我们再想用程序就不用它提供的加过钩子的内核，而使用我们自己复制的这一份

四、作业

1.重定位表这样设计的好处

在重定位表的结构中已经详细说明了

2.打印重定位表信息

#include "stdafx.h"
#include <stdlib.h>

typedef unsigned short WORD;
typedef unsigned int DWORD;
typedef unsigned char BYTE;

#define MZ 0x5A4D
#define