DLL引入表重定位 .reloc

最新推荐文章于 2022-06-08 07:45:56 发布
原创 最新推荐文章于 2022-06-08 07:45:56 发布 · 4.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dll #数据结构 #c #google #工作 #x86

本文探讨了DLL文件在不同基址加载时,原生代码与补丁代码中字符串引用的表现差异,深入分析了PE文件的重定位机制及其工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

   前几天日,在做彩虹显IP补丁程序的时候,需要将原格式化字符串从"%d.%d.*.*"修改成"%d.%d.%d.%d"以使其能显示完整的IP,在补丁代码中需要引用该字符串,于是直接从原代码中copy了一段引用该字符串的代码。头几天还能正常工作,不知什么原因程序突然无法运行了,打开调试器跟踪才发现问题就出在对字符串的引用上,模块载入后的基址与前几天相比发生了改变,补丁中对字符串的引用指向了一个无效空间,但是原代码中对字符串的引用却能修正到正确地址空间上。于是,我看到了“奇怪”的现象:相同的二进制代码却能导致不同运行结果。

    虽然绕道解决了该字符串调用的问题,但是没弄懂其中原因始终觉得不爽,于是决定写点代码实验一下。写一个空的DLL,在DllMain()中添加一条OutputDebugString("BB7887"),然后写一个可执行程序用LoadLibrary()载入该DLL文件,为了使“同一个”DLL能加载到多个地址空间,最简单的方法就是将该DLL文件复制为多个DLL文件然后在可执行程序中多次加载,呵呵,偷个懒!用OllyDbg跟踪,得到的结论是,无论该DLL被加载到任何基址上,原代码中对字符串的引用能成功,但相同的以补丁方式修改的代码,只有在DLL加载到默认的0x10000000基址上能正确引用字符串外,其余的都指向了无效空间。……Google之后才认识到,PE文件在被载入时可以根据基地址对代码中的地址进修修正,也就是“重定位”。所以虽然同样是push xxxx却能有不同的结果,原代码中的push xxxx可以被修正为push bbbb,其中bbbb = xxxx + aaaa,aaaa为DLL模块的基址,而补丁中的push xxxx就没这么幸运了,没人来管这个后娘养的孩子,xxxx被直接入栈。

    重定位的基本原理:重定位以来与PE头文件的.reloc段,该段以索引的方式指出代码段中所有需要修正的数的地址,该地址以RVA相对虚地址的方式来表示,即该数值表示到基地址的偏移量。.reloc段由一系列子项组成,每项的数据结构如下:
DWORD VirtualAddress ;    起始 RVA 值,每一个偏移位置必须加上此值才能够构成一个真正的 RVA
DWORD SizeOfBlock ;       该项的总长
WORD offset[n] ;            偏移地址,只用到该字的低12bits,高4bits为标志为,一般为3
如:
Offset        0  1  2   3   4   5   6  7  8   9   A  B   C  D   E  F   Ascii
00000000  00 10 00 00 60 00 00 00 35 30 43 30 5F 30 80 30  ...`...50C0_0€0
00000010  8C 30 92 30 9C 30 AE 30 B8 30 BE 30 D2 30 D8 30  ????????
00000020  F0 30 F5 30 FC 30 03 31 0A 31 17 31 32 31 38 31  ???1.112181
00000030  3E 31 44 31 4A 31 50 31 5E 31 66 31 6C 31 77 31  >1D1J1P1^1f1l1w1
00000040  84 31 8C 31 9A 31 9F 31 A4 31 A9 31 B4 31 C1 31  ????????
00000050  CB 31 E0 31 EC 31 F2 31 14 32 26 32 82 32 9E 32  ????2&2??
对应于:
->Relocation Directory
   1. Relocation Block:
    VirtualAddress:  0x00001000  (".text")
    SizeOfBlock:     0x00000060  (0x002C block entries)
    RVA        Type
    ---------- -----------------
    0x00001035 HIGHLOW
    0x00001043 HIGHLOW
    0x0000105F HIGHLOW
    0x00001080 HIGHLOW
    0x0000108C HIGHLOW
    0x00001092 HIGHLOW
    0x0000109C HIGHLOW
    0x000010AE HIGHLOW
    0x000010B8 HIGHLOW
    0x000010BE HIGHLOW

    在上面的例子中,所能表示的最大偏移仅仅为0x1ffff,远远是不够用的,所以.reloc段通常是由多个偏移索引的子项组成的,每个子项只能负责0x1000范围内的偏移量,每个子项以0x1000来分段对齐,比如,要指出RVA为0x43569865处的数据需重定位,那么VirtualAddress = 0x43569000,其中某索引的值offset = 0x865 or 0x3000 = 0x3865 。

    用LordPE查看一下,定有更深刻的认识。另外:被重定位的数据在OllyDbg中都以下划线的方式加以表示。

haungrui
关注
写一个PE的壳_Part 2:ASLR+修复输入(IAT)+重定位支持(.reloc
可乐松子的博客
05-26 3880
文章目录Part 2:输入重定位1.ASLR预备知识2.输入支持detail 1:什么是输入?detail 2:PE Header描述detail 3:真实的输入detail 4:编程处理数据结构编程实现扩展:LIEF中重建Import Table介绍3.管理重定位detail 1:什么是重定位?detail 2:重定位结构detail 3:编程处理4.结果展示5.参考 Part 2:输入重定位 本文主要处理Part 1中遗留的2张:输入重定位(执行一个ASLR使能的文件不
使用rebase进行dll基地址重定位
jiaoshuchun的专栏
08-28 4286
今天同事做了《Windows核心编程》的读书报告,其中有一个建议如下:假设有3个模块,一个user.exe,另外两个是A.dll,B.dll。 在编译链接各个模块时,我利用VS默认的base address,这样user.exe的默认基地址是0x00400000h,A或B的基地址是0x10000000h。这样,当加载器加载User.exe(它同时隐式链接A,B)。这样,A,B就会有一个被迫改变
DLL重定向
asfdasfdsf的专栏
11-26 1787
DLL 梦魇   问题竟严重到如此境地,甚至于自身都背有这么恶劣的绰号。当您安装某个程序时,另一个看似与之无关的程序忽然停止工作。原因出乎您的意料,这两个程序通过一个共享的 DLL 文件产生了某种联系。它们对于系统目录中应该存在哪种 MSVCRT.DLL 文件版本产生了分歧。或者,一个程序可能会升级另一个程序正在使用的 ActiveX® 控件,而后者对于升级后的控件并不完全兼容。 如果
PE格式系列_0x05:输出重定位(.reloc)
可乐松子的博客
06-08 933
输出简单理解就是一个格,记录输出函数的信息 流程:PE装载器访问PE文件输出时,通过获取一个函数的地址,通过获取一个函数的名称,但是此时还没有建立对应关系,通过来建立名称和地址的联系示例1:DllDemo中只有一个导出函数MsgBox 使用PE工具查看输出示例2:kernel32.dll的输出汇总查看 2.基址重定位 通常重定位只有dll文件和开了ASLR的exe才需要关心,因为此时不能保证加载时默认的装载地址不会被其他模块占用简单理解,对于PE加载器来说,他不关心需要修正的地址的具体用途,只
(三)利用导入、导出重定位定位导入函数的地址
systomnet的专栏
05-25 1261
经过分析清单文件,我们知道
PE 文件中.reloc节 删除记录
ez scope
04-02 2776
PE文件是windows 下的一种可移植执行体,其设计目的使用来解决跨平台问题(但实际上只是在windows下使用)。通常在windows下使用的.exe .dll .sys等文件都是PE文件,符合PE文件格式规范,有其自身的格式。不熟悉的朋友也可以网上查找相关资料。 PE文件的.reloc 节 即是使用了PE重定位技术。PE加载到进程虚拟地址时,会加载到PE中的IMAGE_OPTIONAL_H
重定位的添加/编辑/删除工具
05-14
1. 添加重定位:当需要在程序中引入新的依赖或调整现有依赖的地址时,可以添加新的重定位项。 2. 编辑重定位:当程序的某些部分需要适应不同的内存布局或更新API引用时,可以编辑现有的重定位条目。 3. 删除重定位...
重定位结构解析
ChuMeng1999的博客
10-24 882
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节头解析以及RVA与文件偏移地址的转换》。 本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。 实验目的 1)了解重定位的原理; 2)了解PE文件的重定位结构
dll注入系列——内存加载
40KO的博客
04-11 6047
0x0废话 dll注入的方式和程序正常加载dll模块的本质上是相同的,无非是通过导入加载,利用LoadLibrary加载和一些系统机制强制加载。要使程序动态加载一个dll文件,也就是执行程序原本没有的代码,势必要改变程序的控制流,创建一个新的线程可以做到这件事。最简单的远线程注入就是利用CreateRemoteThread和LoadLibrary两个API来完成了。 关于注入的介绍及两种经...
dll基地址重定位
hxp1994的专栏
07-10 1413
1、定义 基地址重定位:当进行多个dll动态库合起来编译成一个exe文件的时候,每个dll和exe都有默认的基地址,当加载器加载exe的时候,其实的某个dll会发生基地址改变,因此当加载完后,之前dll里面的指令和加载之后的不一样,导致映像文件里的机器代码指令(包含的硬编码地址)与加载后的不一样,此时需要通过rebase进行基地址重定位。 2、常出现的地方&常见的打印错误方式 常出现...
DLL重定位资源修改
07-14
可自动修改DLL镜像基址,DLL重定位资源修改。
DLL 重定位
月下 读书笔记
11-06 4237
<br />DLL 重定位在32位代码中,涉及到直接寻址的指令都是需要重定位的(而在DOS的16位代码中,只有涉及到操作的指令才是需要重定位的,对此有兴趣的读者可以参考 相关的资料),对于操作系统来说,其任务就是在对可执行程序透明的情况下完成重定位操作,在现实中,重定位信息是在编译的时候由编译器生成并被保留     在可执行文件中的,在程序被执行前由操作系统根据重定位信息修正代码,这样在开发程序的时候就不用考虑重定位问题了。 <br /><br />重定位信息在DLL文件中被存放在重定位中 <br />
基址重定位&.reloc节区
weixin_30273763的博客
12-10 334
第16-17章 - 基址重定位&.reloc节区 @date: 2016/11/31 @author: dlive 0x01 PE重定位 若加载的是DLL、SYS文件,且在ImageBase位置处已经加载了其他DLL/SYS文件,那么PE装载器就会将其加载到其他未被占用的空间。这就涉及了PE文件重定位问题,PE重定位是指PE文件无法加载到ImageBase位置,而被加载到其他地址时发生的...
定位节RELOC所在符号位置
hannibal_why的专栏
02-08 450
如下图:
关于内存加载DLL后修复重定位的问题
IT男也疯狂
05-27 2479
看网上的代码好累,摸索整理了一下,顺便巩固下PE 首先介绍下PE头,分为2个部分 1、DOS头 (IMAGE_DOS_HEADER) typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // ASCII字符MZ  WORD e_c
从可执行文件手动删除.reloc
极深研几
12-07 1647
1.整理reloc节区头 2.删除.reloc节区
PE文件学习笔记(四):重定位Relocation Table)解析
热门推荐
Apollon_krj的博客
08-18 1万+
1、重定位的作用重定位Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
windows PE Image 文件分析(6)--- .reloc 节与 base relocation table
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-11 3310
.reloc 节和 base relocation table 仅存在于 Image 文件中,用于当映像被加载运行的 ImageBase 改变后,对映像内的使用的地址进行重定位。 需要进行 ImageBase 重定位的映像性能会变得很糟糕。32 位的应用程序在 64 位系统上运行就是一个典型的例子。 下面以前面的 32 位 helloworld.exe 映像为例子   1. ImageBa
PE文件基址重定位
SauceJ的专栏
09-01 1422
PE文件基址重定位(Base Relocation),程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的,因此连接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,
如何从可执行文件中删除.reloc节区
最新发布
03-16
<think>好的,我现在需要帮助用户了解如何从PE可执行文件中移除.reloc节区。根据用户提供的引用内容,我需要整理出一个清晰的步骤指南。首先,我应该确认用户可能的需求:他们可能是在优化可执行文件的大小,或者出于其他目的需要删除.reloc节区。需要注意的是,删除.reloc可能会影响程序的兼容性,尤其是在地址空间随机化(ASLR)的情况下,但根据引用[2]和[3],对于EXE文件来说,删除后通常仍能正常运行,而DLL或系统文件可能不行。 接下来,我需要从提供的引用中提取关键步骤。引用[2]提到使用PEView和Win Hex Editor手动删除,并指出.reloc通常位于最后。另外,引用[1]展示了删除后文件大小减少的例子。我需要将这些信息整合成一个步骤流程,确保用户能按部就班操作。 步骤可能包括:使用工具定位.reloc节区、调整节区头、修改文件大小、更新PE头中的相关字。需要注意,手动编辑二进制文件存在风险,可能需要备份。同时,要提醒用户删除.reloc可能影响ASLR,尽管EXE文件可能不受影响,但需根据具体情况评估。 还需要考虑用户可能遇到的问题,例如如何找到DataDirectory[5]的地址,或者如何确保没有其他依赖.reloc的情况。此外,是否需要使用自动化工具还是手动操作,引用中提到的工具是否仍然适用,可能需要进一步说明。 最后,生成相关问题,确保覆盖用户可能的后续疑问,比如其他优化方法、ASLR的影响,或者自动化工具推荐。</think>### 如何从PE可执行文件中删除.reloc节区? #### 操作步骤 1. **备份原始文件** 在修改前务必备份可执行文件,避免操作失误导致文件损坏。 2. **定位.reloc节区** - 使用工具(如PEView或CFF Explorer)查看PE文件结构。 - 在`IMAGE_OPTIONAL_HEADER`的`DataDirectory[5]`中获取基址重定位的RVA和大小[^2][^3]。 - 确认.reloc节区位置(通常位于所有节区末尾)。 3. **删除.reloc节区** - **修改节区头**:将.reloc节区对应的`IMAGE_SECTION_HEADER`内容清零,或删除其条目。 - **调整文件大小**:用十六进制编辑器(如Win Hex)直接删除.reloc节区的二进制数据,并裁剪文件末尾对应的字节数[^1][^2]。 - **更新PE头**: - 将`DataDirectory[5]`的`VirtualAddress`和`Size`设为0。 - 修改`NumberOfSections`字,减少节区总数。 4. **验证文件功能** 运行修改后的文件,测试其是否正常执行(注意:DLL/SYS文件删除.reloc可能导致崩溃,EXE文件一般不受影响)[^3]。 #### 注意事项 - **兼容性影响**:删除.reloc后,程序将无法支持ASLR(地址空间布局随机化),可能降低安全性[^2]。 - **工具推荐**:可使用自动化工具(如`LordPE`或`PE Tools`)简化操作,减少手动编辑错误风险。 - **文件对齐**:删除后需检查节区对齐是否符合PE格式要求(如文件对齐值一般为0x200)。 ```plaintext 示例修改前后对比(引用[1]): 原始文件大小:7168字节 删除.reloc后:减少400H(1024字节)→ 最终大小6144字节 ``` ####
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值