PE文件结构详解(六)重定位

最新推荐文章于 2024-06-03 21:10:17 发布
原创 最新推荐文章于 2024-06-03 21:10:17 发布 · 1.5w 阅读 · 34 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PE 文件 #windows #逆向 #汇编

本文详细介绍了Windows系统中PE文件的重定位机制,如何确保模块基址变化时代码仍能正确调用。内容包括重定位表的生成、存储方式和作用,以及需要重定位的项目类型,如全局变量、函数指针和C++虚函数表。

前面两篇 PE文件结构详解(四)PE导入表 和 PE文件结构详解(五)延迟导入表 介绍了PE文件中比较常用的两种导入方式,不知道大家有没有注意到,在调用导入函数时系统生成的代码是像下面这样的:


在这里,IE的iexplorer.exe导入了Kernel32.dll的GetCommandLineA函数,可以看到这是个间接call,00401004这个地址的内存里保存了目的地址,根据图中显示的符号信息可知,00401004这个地址是存在于iexplorer.exe模块中的,实际上也就是一项

最低0.47元/天 解锁文章
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
PDF格式的PE文件结构图及工具源码是一个深入解析PE(Portable Executable)文件格式的资源,涵盖了C和C++编程语言的相关知识。PE文件格式是Windows操作系统中用于执行程序和动态链接库(DLLs)的主要文件格式。下面...
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++源码.zip
10-15
标题中的“pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++源码.zip”表明这是一个关于PE(Portable Executable)文件结构的资料包,包含了PDF格式的文件结构图、源代码以及可能的相关解释。PE文件格式是...
PE文件重定位
lookerson的专栏
09-12 4480
PE格式是Windows环境下可执行文件(如:exe,dll)的格式,而Windows下面的程序,例如动态链接库无法加载到它本身期望加载的地址的时候,便会发生重定位。那么,重定位是如何实现的呢?   一.PE文件格式的结构 PE文件主要是由PE头和PE体组成的,其中,PE头主要由DOS头, DOS存根,NT头:签名,NT头:文件头,NT头:可选头,节头组成, 而剩下的各节区组成PE体。其
PE重定位
yinhaijing123的专栏
05-04 791
PE文件基址重定位(Base Relocation),程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的,因此连接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,那么一旦程序没有将模块加载到ImageBase时,那么程序中 的指令地址就需要重新定位,例如:假设一个可执行文件,基址是0x400000,在这个image偏移0x1234处是一个指针,指
PE文件重定位
weixin_43575859的博客
03-17 473
要链接PE文件中的重定位表的话,我们首先要知道哪些指令需要重定位,还有重定位的算法是怎样的。汇编中有些指令要用到内存地址,并且在编译的时候这些地址就固定在机器码里面了,如果我们程序的实际装入地址与模块的减一装入地址是相同的,那么这个指令就没问题,但是当实际装入地址与建议装入地址不相同时,如果没有重定位就会出问题了。 举个例子,假如我们在程序中写的代码是: mov eax,dword ptr [0...
Windows PE结构 修复重定位地址的详细具体步骤
qq_27814223的博客
07-24 599
因此,在进行重定位操作后,还需要确保可执行文件的映射范围足够容纳修复后的地址。当将可执行文件的ImageBase从0x400000修改为0x500000时,需要进行重定位(relocation)操作来修复程序中涉及到ImageBase的地址引用。Windows pe 重定位重定位表修复 重定位修复 重定位的修复方法重复步骤3到步骤6,直到遍历完所有的重定位项。将原地址加上新的ImageBase与原ImageBase的差值,得到修复后的地址。重定位项中记录了需要修复的地址的偏移量。
反向进程注入及隐藏--动手做一个最简单的PELoader
08-16 1639
文章属性:原创文章提交:Luke0314 (msfocus_at_hotmail.com)动手做一个最简单的PELoaderLuke msfocus@hotmail.com一.废话最近因为公司的项目需要,顺带的学习了一点和PELoader相关的东西,恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才,实在是没能力也没精力去写一个真正意义上的虚拟机,因此尝试做了一个简单而偷懒的PE加载器。这个PE加载器也
PE文件结构详解之头信息解析
最新发布
meis27461的博客
06-03 1562
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE头的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE头的位置就是0x01+0xF0。
易语言内存注入源码-易语言
06-13
易语言内存注入源码
易语言源码易语言PE结构查看源码.rar
02-17
易语言源码易语言PE结构查看源码.rar
易语言取PE文件区段源码-易语言
06-13
易语言取PE文件区段源码
PELoader自加载PE文件(转载)
02-28
自加载PE文件 支持用户态和内核态(转载)
汇编PeLoader_模块+例程
01-04
易语言:汇编PeLoader_模块+例程 内存加载DLL的实现
PE文件结构详解
12-22
### PE文件结构详解 #### 一、概述 随着Windows NT的发布,一种新的可执行文件格式——PE(Portable Executable)文件格式应运而生。PE文件格式在设计上借鉴了UNIX操作系统常用的COFF(Common Object File Format...
【梅哥的Ring0湿润插入教程】重磅第三课:Ring0下的PE Loader及重加载内核秒杀一切内核级钩子(上篇)...
aejtu5698的博客
06-04 1522
【梅哥的Ring0湿润插入教程】Email:mlkui@163.com 转载请注明出处,谢绝喷子记者等,如引起各类不适请自觉滚J8蛋!第三课:Ring0下PE Loader及重加载内核绕过一切内核级钩子(上篇) 随着驱动保护技术的逐步成熟,诸如网络游戏公司等越来越多的商业软件公司开始使用Ring0级保护技术保护自己的产品,以起到反用户级调试、反RootKit、反各类钩子、反各...
PE_Loade技术解析
qq_18811919的博客
12-29 956
PeLoader技术是模拟Windows EXE装载过程,主要用于红蓝对抗对EDR查杀的规避能够具有很强静态免杀效果,随着对抗的升级PeLoader在遇到有着较强内存查杀的EDR时候,往往显得力不从心,可以使用其他技术进行对抗比如模块.text reload卸载R3 HOOK,白+黑进行白名单绕过等等,红蓝对抗是永无止境。
PE--重定位
SUNE__学无止境
05-22 464
遍历重定位表////////////////重定位表///////////////////////////////// VOID _GetRelocInfo(PVOID pFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNtHeaders = NULL; PIMAGE_BASE_RELO
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值