PE 重定位

最新推荐文章于 2024-10-10 03:35:43 发布
最新推荐文章于 2024-10-10 03:35:43 发布
阅读量1.5k 收藏 3
点赞数 3
分类专栏: PE文件格式相关 文章标签: PE 重定位 基址重定位表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Plus_RE/article/details/80190970
版权

PE 重定位简述

当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然而加载时却被加载到了 0xDC0000,这就是发生了重定位。

重定位不是简简单单的更改了映像基址这么简单,文件中可能存在一些硬编码地址,这些硬编码地址是和 PE 头指定的 ImageBase 相适应的。一旦发生了重定位,内存中的内存基址就不再和这些硬编码的地址相适应,运行时就会出现问题。

举个例子,PE 头中的 ImageBase 是 0x400000,而代码段中有这样一句指令 call dword ptr ds:[0x4003C0] ,它的十六进制机器码为 FF 15 C0 03 40 00 ,这里 0x4003C0 就是硬编码的地址,它是写死在磁盘的文件中的。当程序被加载到 0x400000 时,这句指令将正常工作;而当程序被加载到了 0xDC0000 时,如果没有经过重定位修复,这句指令很明显将会执行出错,而重定位之后,内存中的这句指令将变成 call dword ptr ds:[0xDC03C0] ,可以正常执行。

因此,重定位的主要工作是修复这些硬编码的地址,使之与新的映像基址相适应。然而程序中很有可能存在大量的硬编码地址,我们需要修改这些地址,首先就得找到这些地址。要找到这些地址,在装载时再进行扫描分析是不可行的,因为我们无法区分这是一个硬编码的地址还是一个普通的数据。正确的做法是在程序编译链接时把每一个硬编码地址所在位置

最低0.47元/天 解锁文章
PE结构->【基址重定位
u011513939的博客
06-22 1074
在这里再次强调一下,只要是windows操作程序,其就要遵循PE格式,再说人家看雪的网址就是www.pediy.com。这一节对于讲来研究病毒原理的研究影响比较大,大家务必要深入理解~但是吧,咱的权威教材看雪的《加密与解密》在这一节的讲解上实在不给力,很多初学者看得云里雾里的。大家意见一致啵 ?!问题一:什么是基址重定位?答: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地
PE文件重定位
lookerson的专栏
09-12 4383
PE格式是Windows环境下可执行文件(如:exe,dll)的格式,而Windows下面的程序,例如动态链接库无法加载到它本身期望加载的地址的时候,便会发生重定位。那么,重定位是如何实现的呢?   一.PE文件格式的结构 PE文件主要是由PE头和PE体组成的,其中,PE头主要由DOS头, DOS存根,NT头:签名,NT头:文件头,NT头:可选头,节头组成, 而剩下的各节区组成PE体。其
PE重定位
fa1c4的blog
03-04 381
PE重定位基本原理(很简洁 找到所有硬编码的地址 每个地址减去ImageBase 加上装载的实际地址 主要是查找硬编码地址, 是由重定位表relocation table提供每个硬编码的偏移. 也就是基址重定位表. Base_Relocation_Table 记录在PE头的DataDirectory数组的第六个元素. 该表是由IMAGE_BASE_RELOCATION结构体组成的, 结构体记录了硬编码地址的偏移. IMAGE_BASE_RELOCATION结构体 结构体由VirtualAddress,
PE重定位表
yinhaijing123的专栏
05-04 753
PE文件基址重定位(Base Relocation),程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的,因此连接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,那么一旦程序没有将模块加载到ImageBase时,那么程序中 的指令地址就需要重新定位,例如:假设一个可执行文件,基址是0x400000,在这个image偏移0x1234处是一个指针,指
PE格式详细讲解10 - 系统篇10|解密系列
weixin_34009794的博客
07-05 173
PE格式详细讲解10 -系统篇10 让编程改变世界 Change the world by program 今天有一个朋友发短消息问我说“老师,为什么PE的格式要讲的这么这么细,这可不是一般的细哦”。 其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做。 主要原因是因为PE结构非常重要,再说做这个课件的确是很费神的事哈。 在这里再次...
PE重定位练习
10-07
PE重定位是一项关键的进程加载技术,它涉及到在内存中正确放置代码和数据,以便程序能正常运行。当我们谈论"PE重定位练习"时,这通常是指通过实践来学习如何理解和处理PE文件的内存布局调整。 PE文件由多个部分组成...
PE重定位表解析
windows小菜鸡的博客
08-17 1025
1、重定位表的作用 在模块被加载到内存中,如果该模块没有装载到期待的位置,里面以固定形式而不是以偏移形式硬编码的地址就需要修正,这样程序才能被正确加载。 例如:CALL 401203。这个在编译器编译的时候将CALL后面的函数地址以硬编码的形式固定住,那么一旦模块不是被加载到40000的基址,而是被加载到100000,则这条函数调用指令就不能正确找到函数,这时候就需要修正这个401203为1001203才可以。这就需要重定位表了 2、重定位表的位置 可选PE头中数据目录项的第6个结构就是重定位表。 注意:
PE文件重定位信息编辑工具 v1.0 绿色免费版.zip
03-25
PE文件重定位信息编辑工具是一款编程工具类软件,有了它以后,用户在编辑PE文件时就不需要每次都去查看重定位表的内容了,非常的方便和实用,喜爱的朋友赶快下载体验吧! 官方介绍 PE文件重定位信息编辑工具是一款...
PE重定位原理实例教程与工具解析
PE重定位是一种在Windows操作系统中的可执行文件(PE格式文件)加载过程中解决地址问题的技术。PE文件是一种包含了程序信息的二进制格式文件,它是由Microsoft Portable Executable and Common Object File Format ...
PE-重定位表
qq_51600802的博客
10-27 990
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
PE文件(十)重定位表
2301_78838647的博客
07-13 1286
重定位表的引入程序加载过程在win32下,每一个PE文件(其可能由多个子PE文件组成)在运行时,操作系统会给分配一个独立的4GB虚拟内存,内存地址从0x00000000到0xFFFFFFFF。其中低2G为用户程序空间,高2G为操作系统内核空间。并且操作系统会将该文件中数据拉伸成内存中数据,从ImageBase开始,分配SizeOfImage大小空间当一个主PE文件由很多个子PE文件组成,当我们运行主PE文件时,所有的PE文件共享操作系统分配的一个4GB虚拟空间。
PE结构之重定位表
weixin_30462049的博客
11-13 209
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
PE结构之 重定位表
最新发布
weixin_43751677的博客
10-10 476
那么,我们找到了要某个绝对地址 需要修改的RVA, 将这个RVA转换成FOA后,这个绝对地址是读DWORD ,还是QWORD?就是说,32位和64位是否有区别?
PE文件基址重定位
SauceJ的专栏
09-01 1361
PE文件基址重定位(Base Relocation),程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的,因此连接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,
PE文件重定位概念学习
bcbobo21cn的专栏
03-21 388
PE文件基址重定位,Base Relocation。 程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的;因此连接器生成的指令中的地址是在假设模块被 加载到ImageBase前提之下生成的; 那么一旦程序没有将模块加载到ImageBase时,那么程序中 的指令地址就需要重新定位。 这是重定位的基本概念。 基址重定位项,加载器就是利用它来知道模块是否按预期的 位置加载,哪些指令是需要修改的。 加载器也是通过数据目录来定位【基址重定位项】,【基址重定位项】被包装 为一系列连续区段,每
2.7 PE结构:重定位表详细解析
热门推荐
优快云
09-07 1万+
重定位表(Relocation Table)是Windows PE可执行文件中的一部分,主要记录了与地址相关的信息,它在程序加载和运行时被用来修改程序代码中的地址的值,因为程序在不同的内存地址中加载时,程序中使用到的地址也会受到影响,因此需要重定位表这个数据结构来完成这些地址值的修正。
PE手动重定位
Starr
11-15 654
文章目录源码运行添加重定位信息 工具:RadAsm,010 Editor,LordPE。 源码 .386 .model flat,stdcall option casemap:none include msvcrt.inc includelib msvcrt.lib .data szText db 'welcome', 0ah, 00h szPause db 'pause', 00h ...
Windows:PE格式之基址重定位
无名J0kзr的博客
03-26 840
文章目录杂什么是基址重定位为什么需要基址重定位如何进行基址重定位重定位表的数据结构实例 杂 参考: 基址重定位的作用及详细解析 小甲鱼PE详解之基址重定位详解 PE文件结构(五)基址重定位 《程序员的自我修养:链接、装载与库》 什么是基址重定位 重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程,也就是说在装入时对目标程序中指令和数据的修改过程。他是实现多道程序在内存中同时运行的基础。 为什么需要基址重定位 每个PE文件都有一个首选基地址,它表示模块被映射到进程地址空间时最佳的装载位置。 而
PE_重定位表
个人笔记
04-05 493
重定位表概述为什么需要重定位表存在?重定位表定位重定位表项IMAGE_BASE_RELOCATION结构结构详解定位实例 概述 加载PE文件到虚拟内存时,EXE默认IMAGEBASE一般为400000,DLL默认IMAGEBASE一般为10000000。 一般情况下,EXE都是可以按照ImageBase的地址进行加载的.因为Exe拥有自己独立的4GB 的虚拟内存空间。 但DLL 不是 DLL是有EXE使用它,才加载到相关EXE的进程空间的。 为了提高搜索的速度,模块间(各个Dll之间)地址也是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值