PE结构-重定位表

最新推荐文章于 2024-10-10 03:35:43 发布
原创 最新推荐文章于 2024-10-10 03:35:43 发布 · 491 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了PE文件结构中的重定位表,解释了为什么需要重定位以及其工作原理。通过示例说明了重定位过程中地址修正的过程,并探讨了重定位表的结构、元素含义以及如何遍历和结束重定位块。最后,通过对简单DLL模块的分析,验证了重定位表的正确性。

首先,先来说一下为什么需要重定位表,先来观察一段程序

00401000 >/$  6A 00            push    0                                ; /Style = MB_OK|MB_APPLMODAL
00401002  |.  68 1D204000      push    0040201D                         ; |Title = "PE"
00401007  |.  68 10204000      push    00402010                         ; |Text = "Hello World!"
0040100C  |.  6A 00            push    0                                ; |hOwner = NULL
0040100E  |.  E8 07000000      call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA
00401013  |.  6A 00            push    0                                ; /ExitCode = 0
00401015  \.  E8 06000000      call    <jmp.&KERNEL32.ExitProcess>      ; \ExitProcess
0040101A   $- FF25 08204000    jmp     dword ptr [<&USER32.MessageBoxA>>;  user32.MessageBoxA
00401020   .- FF25 00204000    jmp     dword ptr [<&KERNEL32.ExitProces>;  kernel32.ExitProcess

假设上述程序的建议装载地址为0x400000,然而当操作系统装载时,该地址被占用,所以实际地址装载地址为0x500000。</

最低0.47元/天 解锁文章
PE-重定位表
qq_51600802的博客
10-27 1054
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
PE导出表、重定位详解
93Storm
12-31 2564
此文档主要讲解导出表,重定位信息: 使用例子为: Windows.UI.Xaml.dll、010editor 1、导出表,重定位表的地址存放在哪里 DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录表 数据目录表中的内容: structIMAGE_DATA_DIRECTORY  Export
重定位表
weixin_43990313的博客
07-12 781
概述 数据目录项的第6个结构,就是重定位表结构 重定位表结构 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; } IMAGE_BASE_RELOCATION; typedef IMAGE_BASE_RELOCATION ,* PIMAGE_BASE_RELOCATION; 该结构体有两个成员:一个是地址,一个是大小。如下图所示:一个重定位表由多个大小SizeOfB
PE结构重定位表
weixin_30462049的博客
11-13 261
什么是重定位: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
PE结构重定位表
最新发布
weixin_43751677的博客
10-10 625
那么,我们找到了要某个绝对地址 需要修改的RVA, 将这个RVA转换成FOA后,这个绝对地址是读DWORD ,还是QWORD?就是说,32位和64位是否有区别?
PE结构重定位表的分析.rar
01-10
这个压缩包文件“PE结构重定位表的分析.rar”似乎提供了关于这个主题的深入学习资料,包括一个DLL示例、PElord工具以及相关文档说明。 重定位表是在PE文件中用于处理程序在不同地址运行时可能出现的问题。当...
PE结构重定位表
SMOne
06-30 1959
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出表 七、导入表 八、资源表 九、重定位表 1.概念 重定位表 存的是PE文件中需要修改(变量数据)的地址的位置。 全局变量和局部静态变量在PE文件数据段中。 程序代码在寻址这些变量时,用的不是偏移RVA,而是直接地址VA。 2.使用规则 我们知道VA=基址+RVA,而基址默认是...
pe 文件编程:清除文件头中的重定位表.rar_pe_清楚重定位表
09-21
综上所述,“清除文件头中的重定位表”是一项涉及PE文件结构修改的高级技术,它适用于特定的场景和需求。在进行此类操作时,必须充分了解其背后的原理和潜在风险,以免对程序的正常运行造成影响。
PE格式第七讲,重定位表
weixin_30532369的博客
10-19 208
         PE格式第七讲,重定位表 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶何为重定位(注意,不是重定位表格) 首先,我们先看一段代码,比如调用Printf函数,使用OD查看. 那么大家有没有想过这么一个问题,函数的字符串偏移是00407030位置,函数Call的地址是00401020的...
PE文件解析--重定位表
qq_31125257的博客
12-22 671
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
WIN32 PE结构 重定位表
whl0071的专栏
02-25 299
什么是重定位: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址被应用程序占据了或者被其它的DLL占据了,也是很正常的,这时它就不得不进行重定位了。 哪些数据需要重定位: :00401000 55...
PE目录项之重定位表(解析、移动、模拟运作)
qq_35289660的博客
07-03 2007
PE目录项之重定位表(解析、移动、模拟运作) 文章目录PE目录项之重定位表(解析、移动、模拟运作)0.说明1.解析重定位表(1)作用(2)详解2.移动重定位表到新建节区3.模拟重定位表工作(1)重定位表的工作(2)模拟它工作4.C源代码(1)解析重定位表(2)移动重定位表(3)模拟重定位表工作 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水逆向视频总结(部分截图来自于滴水课件) 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:124588
PE文件(八)导出表
2301_78838647的博客
07-13 1645
重定位表的引入程序加载过程在win32下,每一个PE文件(其可能由多个子PE文件组成)在运行时,操作系统会给分配一个独立的4GB虚拟内存,内存地址从0x00000000到0xFFFFFFFF。其中低2G为用户程序空间,高2G为操作系统内核空间。并且操作系统会将该文件中数据拉伸成内存中数据,从ImageBase开始,分配SizeOfImage大小空间当一个主PE文件由很多个子PE文件组成,当我们运行主PE文件时,所有的PE文件共享操作系统分配的一个4GB虚拟空间。
PE_重定位表
个人笔记
04-05 553
重定位表概述为什么需要重定位表存在?重定位表定位重定位表项IMAGE_BASE_RELOCATION结构结构详解定位实例 概述 加载PE文件到虚拟内存时,EXE默认IMAGEBASE一般为400000,DLL默认IMAGEBASE一般为10000000。 一般情况下,EXE都是可以按照ImageBase的地址进行加载的.因为Exe拥有自己独立的4GB 的虚拟内存空间。 但DLL 不是 DLL是有EXE使用它,才加载到相关EXE的进程空间的。 为了提高搜索的速度,模块间(各个Dll之间)地址也是
重定位表介绍
只为改变自己
05-04 1775
PE重定位表介绍
重定位表详解
For Geek
05-10 4310
重定位表对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位表作为一个单独的区块放到区块表中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值