PE文件学习(四)基址重定位

最新推荐文章于 2025-05-24 19:13:51 发布
最新推荐文章于 2025-05-24 19:13:51 发布
阅读量2.2k 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SanSiro1/article/details/48026923
本文介绍了PE文件中的基址重定位,特别是在Windows系统中DLL文件加载时可能出现的基址变化情况。重定位表通常位于.reloc区块,由多个IMAGE_BASE_RELOCATION子结构组成,每个子结构对应4KB分页的重定位信息。此外,还提到了数据目录表中的调试信息,指向IMAGE_DEBUG_DIRECTORY结构,用于辅助程序调试并提供调试数据的位置和大小。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       数据目录的IMAGE_DIRECTORY_ENTRY_BASERELOC项指向此结构,由于在Windows系统中DLL(动态链接库)文件并不是每次都能加载到预设的基址(ImageBase)上,因此基址重定位主要应用于DLL文件中。

      一般情况下重定位表位于一个名为.reloc的区块内,PE文件中的重定位结构是由多个IMAGE_BASE_RELOCATION子结构组成的,每个子结构只负责描述一个4KB大小的分页内重定位信息,也就是PE文件中需要重定位的部分每隔0x1000字节大小的区域就要有一个。

      基址重定位表的结构:

typedef  struct  _IMAGE_BASE_RELOCATION{
 DWORD  VirtualAddress;    //需重定位数据的其实RAV
DWORD  SizeOfBloce;   //本结构与TypeOffset总大小
}IMAGE_BASE_RELOCATION;
typedef  IMAGE_BASE_RELOCATION  UNALIGNED  * PIMAGE_BASE_RELOCATION;
VirtualAddress:指向PE文件中需要重定位数据的RAV,由于每个重定位结构体只负责描述0x1000字节大小区域的重定位信息,因此这个字段的值总是0x1000的倍数。
SizeOfBlock:描述IMAGE_BASE_RELOCATION结构体与重定位数组TypeOffset的体积总大小(IMAGE_SIZEOF_BASE_RELOCATION+2*n)。


数据目录表之调试:

数据目录的IMAGE_DIRECTORY_ENTRY_DEBUG指向此结构,往往保证在一个名为.debug的区段里,主要负责协助第三方程序调试本程序,并为其提供调试数据块的位置与大小。调试目录使用一个名为IMAGE_DEBUG_DIRECTORY的结构作为索引,用数据

最低0.47元/天 解锁文章

200万优质内容无限畅学
pe文件对齐
goat_2003的博客
06-08 4310
内存对齐与文件对齐 一个pe文件无论在磁盘和内存中存放都会进行对齐,但他们的对齐值会不相同。 PE 文件头里边的FileAligment 定义了磁盘区块的对齐值。每一个区块从对齐值的倍数的偏移位置开始存放。而区块的实际代码或数据的大小不一定刚好是这么多,所以在多余的地方一般以00h 来填充,这就是区块间的间隙。 PE 文件头里边的SectionAligment 定义了内存中区块的对齐值。PE 文件被映射到内存中时,区块总是至少从一个页边界开始。 rva与fov的相互转换 RVA与FOV的相互转换 为.
PE 重定位
加号减减号的博客
05-04 1602
PE 重定位简述 基址重定位表 IMAGE_BASE_RELOCATION TypeOffset 重定位地址计算 重定位过程总结 参考资料 PE 重定位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指定的 ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 重定位。比如说我们某一个 PE 文件的 ImageBase 为 0x400000,然...
PE文件格式--------------重定位
weixin_30905981的博客
07-30 223
一、关于重定位 1、直接寻址指令需要重定位。如:mov eax, dword ptr [4000c0h] 注意:call 401000h 是相对寻址,不需要重定位。 请问 call [401000h]需要重定位吗? 2、重定位需要的信息重定位地址、实际装载地址、建议装载地址。 二、重定位数据结构 IMAGE_ BASE_RELOCATION struct VirtualAddr...
Windows逆向工程提升之IMAGE_BASE_RELOCATION
最新发布
0xCC说逆向
05-24 1422
目录重定位的概念与作用什么是重定位?为什么需要重定位?IMAGE_RELOCATION 结构详解结构定义字段解析重定位类型(Relocation Type)​重定位表的工作流程加载器处理步骤示例计算图解示例重定位表结构解析绝对地址数据引用重定位表由多个 ​重定位块(Block)​ 组成,每个块对应一个内存页(4KB),结构定义为 IMAGE_BASE_RELOCATION: 字段解析
PE解释器之PE文件结构(二)
SXXYNHHXX的博客
01-19 1270
接下来的内容是对IMAGE_OPTIONAL_HEADER32中的最后一个成员DataDirectory,虽然他只是一个结构体数组,每个结构体的大小也不过是个字节,但是它却是PE文件中最重要的成员。PE装载器通过查看它才能准确的找到某个函数或某个资源。 此数据目录表结构中有俩个成员VirtualAddress和Size,这俩成员的含义比较简单,前者指定了数据块的相对虚拟地址(RVA)Size则指定了该数据块的大小,有时并不是该类型数据的总大小,可能只是该数据类型一个数据项的大小。这俩成员成为定位各种表的
PE文件详解八:IMAGE_BASE_RELOCATION STRUC基址重定
weixin_34417200的博客
01-11 294
什么是基址重定位?答:重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址重定位但凡涉及到直接寻址的指令都需要进行重定位处理! IMAGE_BASE_RELOCATION STRUC 【基址重定位位于数据目录表的第六项,共8+N字节】 { +00 h DWORD VirtualAddress ;重定位数据开始的RVA...
重定位表详解
For Geek
05-10 4210
重定位表对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位表作为一个单独的区块放到区块表中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
《Windows PE》6.1 重定位
bcdaren的博客
10-12 1252
重定位表(relocation table)是在可执行文件或动态链接库(DLL)中用于指示系统在加载时对代码和数据进行重新定位的数据结构。在可执行文件或 DLL 中,代码和数据通常是使用相对地址进行引用的。当将可执行文件或 DLL 加载到内存中时,如果加载地址与文件中的基地址不匹配,就需要对代码和数据进行重新定位,以确保引用的地址正确。重定位重定位表的结构与解析重定位表的修改。
基址重定位
Mi1k7ea
06-09 2019
基址重定位表(Base Relocation Table),记录PE重定位时需要修改的硬编码地址的位置。一般地,向进程的虚拟内存加载PE文件(EXE、DLL、SYS)时,文件会被加载到PE头的ImageBase所指的地址处。若加载的文件为DLL或SYS,且ImageBase位置加载了其他DLL或SYS文件时,则会进行PE重定位PE重定位是指PE文件无法加载到ImageBase所指位置时,而加载到...
PE文件重定位表(为什么需要重定位和如何重定位
weixin_43742894的博客
03-31 1385
**为什么重定位?** 重定位就是修正PE文件的地址。 PE文件有着默认的基址(ImageBase默认为0x40000000),理论上当PE要加载的时候,就会占据这个地址,但是当这个地址因为一些原因,被占用而不能被加载时,PE文件就被加载到其他地方了,这时候就需要基址重定位了。
编写PE文件解析器(三)
当我在写代码的时候我在写什么
10-24 3136
下面有几个表网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理表】 CPU特定的并且基于表的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNT
手动加载PE文件
gongxie0235的博客
05-13 1127
今天手撸一下加载PE文件,并执行加载的PE文件。看完这一节之后相信大家会对PE文件的结构和在内存中的加载顺序有一个比较深刻的理解。本文中可能对PE文件的基础知识介绍的不是很详细,建议大家先看看PE文件的基础结构,了解了这些基础知识后再看本文会简单许多。废话不多说,下边让我们进入正是环节吧~
未署名
V8cangshu的博客
06-02 557
像虚拟内存载入PE文件时(EXE/DLL/SYS/OCX/COM),加载到PE头的ImageBase所知的地址处。 PE头(DOS头/DOS存根/NT头:文件头/NT:可选头/节区头及其下属构成) PE重定位指的是PE文件将要载入的ImageBase所指的位置已被占用,再加载到其他地址发生的行为。 EXE默认的ImageBase为00 400 000,DLL默认的ImageBase为10 000 ...
190514-读取基址与偏移的几种方式
05-14 5477
基址分为固定基址,与随机基址 一般的EXE里 数据段和代码段 相关的地址是固定的 通常DLL里找到的基址都是动态的 常见的基址 形式 一、固定基址 标题先说固定的基址 举个例子 某个游戏的角色相关的几个地址: 0x400056 //int 血量 0x40006c //float x坐标 0x400070 //float y坐标 或者 [0x458800AC]+0x180 ...
【Android 逆向】Android 逆向基本概念 ( 定位内存中的修改点 | 基址寻址法 | 搜索定位法 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-07 2023
一、定位内存中的修改点、 1、基址寻址法、 2、搜索定位法、
小甲鱼PE详解之基址重定位详解(PE详解10)
07-29 5010
上一讲:小甲鱼PE详解之输出表(导出表)详解今天有一个朋友发短消息问我说“老师,为什么PE的格式要讲的这么这么细,这可不是一般的系哦”。其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做,主要原因是因为PE结构非常重要,再说做这个课件的确是
PE文件格式详解()
08-04 1108
预定义段   一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上,应用程序定义一个独特的段的方法是使用标
PE结构-3
Starr
07-05 536
PE结构-3 文章目录PE结构-39. 异常10. 安全11. 调试 9. 异常 PE文件的异常目录位于.pdata区段,数据目录中的IMAGE_DIRECTORY_ENTRY_EXCEPTION指向此结构。 平台不同,异常结构也不同。x64的异常结构如下: typedef struct _IMAGE_RUNTIME_FUNCTION_ENTRY { DWORD BeginAddress;...
PE文件格式详解(3)
马说@优快云
12-26 2736
PE可选头部  PE可执行文件中接下来的224个字节组成了PE可选头部。虽然它的名字是“可选头部”,但是请确信:这个头部并非“可选”,而是“必需”的。OPTHDROFFSET宏可以获得指向可选头部的指针:PEFILE.H#define OPTHDROFFSET(a) ((LPVOID)((BYTE *)a + /                        ((PIMAGE_DOS_HEAD
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值