PE文件详解八:IMAGE_BASE_RELOCATION STRUC基址重定

最新推荐文章于 2025-05-24 19:13:51 发布
最新推荐文章于 2025-05-24 19:13:51 发布
阅读量4.6k 收藏 3
点赞数
分类专栏: API 其它
本文详细介绍了PE文件中的基址重定位机制,包括IMAGE_BASE_RELOCATION结构、VirtualAddress的作用、SizeOfBlock的含义及TypeOffset数组的构成。此外还解释了不同重定位类型的含义及其如何应用于指令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PE文件详解八:IMAGE_BASE_RELOCATION STRUC基址重定

什么是基址重定位?
答:重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址重定位

但凡涉及到直接寻址的指令都需要进行重定位处理!

复制代码 
IMAGE_BASE_RELOCATION STRUC 【基址重定位位于数据目录表的第六项,共8+N字节】
{
+00 h DWORD VirtualAddress ;重定位数据开始的RVA 地址
+04 h DWORD SizeOfBlock ;重定位块得长度,标识重定向字段个数
+08 h WORD TypeOffset ;重定项位数组相对虚拟RVA,个数动态分配
};
IMAGE_BASE_RELOCATION ENDS
复制代码

1.VirtualAddress 是 Base Relocation Table 的位置它是一个 RVA 值;
2.SizeOfBlock 是 Base Relocation Table 的大小;
3.TypeOffset 是一个数组,数组每项大小为两个字节(16位),它由高 4位和低 12位组成,高 4位代表重定位类型,低 12位是重定位地址,它与 VirtualAddress 相加即是指向PE 映像中需要修改的那个代码的地址。

TypeOffset高位字节的代码定义:

复制代码 
IMAGE_REL_BASED_ABSOLUTE (0) 使块按照32位对齐,位置为0。
IMAGE_REL_BASED_HIGH (1) 高16位必须应用于偏移量所指高字16位。
IMAGE_REL_BASED_LOW (2) 低16位必须应用于偏移量所指低字16位。
IMAGE_REL_BASED_HIGHLOW (3) 全部32位应用于所有32位。
IMAGE_REL_BASED_HIGHADJ (4) 需要32位,高16位位于偏移量,低16位位于下一个偏移量数组元素,组合为一个带符号数,加上32位的一个数,然后加上8000然后把高16位保存在偏移量的16位域内。
IMAGE_REL_BASED_MIPS_JMPADDR (5) Unknown
IMAGE_REL_BASED_SECTION (6) Unknown
IMAGE_REL_BASED_REL32 (7) Unknown
复制代码

C++ 中共享指针 std::make_shared 的用法
小秋 AI SLAM 入门实战教程
07-19 2005
这就是所谓的引用计数(reference counting):每当有一个新的共享指针指向某个对象,引用计数就会增加,每当一个共享指针被销毁,引用计数就会减少。在C++中,智能指针是一种对象,它可以像常规指针一样存储和引用其他对象,但是还有一个额外的特性:它会自动删除它所引用的对象。值得注意的是,在使用智能指针时,应避免创建引用循环,因为这会导致内存泄漏。,即使没有其他指针引用它们,它们也不会被删除,因为它们的引用计数永远不会为零。更为高效,因为它减少了内存分配的次数,并能提高内存管理的效率。
PE
加号减减号的博客
05-04 1598
PE 位简述 基址位表 IMAGE_BASE_RELOCATION TypeOffset 位地址计算 位过程总结 参考资料 PE 位简述 当 PE 文件被加载进虚拟内存却并非加载到 PE 头所指ImageBase 处时(如 ASLR 机制),我们就说发生了 PE 位。比如说我们某一个 PE 文件ImageBase 为 0x400000,然...
PE总结14---PE文件结构之位表 (IMAGE_BASE_RELOCATION
oBuYiSeng的博客
12-11 5869
位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址位。 // 【基址位位于数据目录表的第六项,共8 + N字节】 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; //位数据开始的RVA 地址 DWORD SizeOfBloc
Windows逆向工程提升之IMAGE_BASE_RELOCATION
0xCC说逆向
05-24 1416
目录位的概念与作用什么是位?为什么需要位?IMAGE_RELOCATION 结构详解结构义字段解析位类型(Relocation Type)​位表的工作流程加载器处理步骤示例计算图解示例位表结构解析绝对地址数据引用位表由多个 ​位块(Block)​ 组成,每个块对应一个内存页(4KB),结构义为 IMAGE_BASE_RELOCATION: 字段解析
位表 IMAGE_BASE_RELOCATION
dengjiatao9832的博客
09-21 278
typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; // WORD TypeOffset[1]; } IMAGE_BASE_RELOCATION; typedef IMAGE_BASE_RELOCATION UNALIGNED * P...
滴水逆向三期 PE基础 移动位表与修改IMAGEBASE
四位的博客
05-16 2162
分析 一 移动位 直接把整张表复制后修改目录表的RVA即可 二 修改ImageBase ①首先当然是修改ImageBase ②遍历位表中的数据加上新旧ImageBase的差值, 就是在打印的基础上加上修改数据 位表的结构 SECTION为所属区段, RVA为大表, items为有多少数据(SizeofBlock-8)/2 因为小表为word RVA为要修改数据的地址(非真实地址) offset为文件偏移 type为数据属性 FarAddress为真正的地址也是修改imagebase后应该修改
PE文件学习
qq_43210436的博客
02-18 859
**PE文件学习记录** 大三下的选修课程《恶意代码分析》中需要学习PE文件的相关知识,以此为契机,记录一下自己的学习过程并对知识加以整理和理解 PE文件学习记录PE文件相关基本概念二级目录三级目录 PE文件相关基本概念 1.基地址(ImageBase): PE文件被加载到内存后,内存中的版本被称为模块(Module),映射文件的起始地址被称为模块句柄(hModule)。这个初始内存地址也被称为基地址(ImageBase)。 2虚拟地址(VA): ...
matlab精度检验代码-ML_AE_relocation:ML_AE_relocation
05-22
matlab精度检验代码ML_AE_relocation 使用机器学习(ML)方法在实验室断层表面上位声发射(AE)事件。 参考: Zhao,Q.,Glaser,SD通过机器学习来位具有未知速度结构的岩石中的声发射。 Rock Mech Rock...
解决RISC-V linker fail, relocation truncated to fit: R_RISCV_HI20
qq_24402247的博客
07-22 2109
RISC-V64gc LD截断: R_RISCV_PCREL_HI20问题解决及解析
解决Mips下编译C++程序链接报错:relocation truncated to fit: R_MIPS_CALL16 against ‘
enchanted的博客
03-03 3034
目录前言解决问题结束语 前言 最近在MIPS架构下编译程序遇到了奇怪的问题,同样的环境,以前版本的代码可以编译链接成功,但新版本代码却无法链接成功,报错则是以下: ../lib/libproto37.a(edrMessage.pb.cc.o):在函数‘InitDefaultsscc_info_EdrMessage_AgentBaselineStatus_edrMessage_2eproto()’中: edrMessage.pb.cc:(.text+0x350): relocation truncated t
PE格式深入浅出之RAV,AV,ImageBase之间的关系
热门推荐
fantcy的专栏
08-23 1万+
破解软件系列-PE格式深入浅出之RAV,AV,ImageBase之间的关系(二)    PE header 的正式命名是 IMAGE_NT_HEADERS。再来回忆一下这个结构。IMAGE_NT_HEADERS STRUCT     Signature dd ?     FileHeader IMAGE_FILE_HEADER     OptionalHeader IMAGE_OP
操作系统基础知识--内存管理之程序的
weixin_46866349的博客
12-09 1547
程序为什么需要位 第一步: 编译——从C到汇编 第二步:汇编与链接——从汇编到可执行程序 最后装载程序到内存中,问题: 如何装载?也就是说程序在内存中如何存放? 程序怎么能正确开始? 1、将代码段放在内存中从0开始的地方 2、将数据段放在内存中从288开始的地方 3、设置PC=0 如果内存中从0开始的一段内存有专门的用途怎么办? 如存放中断处理程序 需要位! : 为执行程序而对其中出现的地址所做的修改 程序位的时机 ...
PE解释器之PE文件结构(二)
SXXYNHHXX的博客
01-19 1266
接下来的内容是对IMAGE_OPTIONAL_HEADER32中的最后一个成员DataDirectory,虽然他只是一个结构体数组,每个结构体的大小也不过是个字节,但是它却是PE文件中最要的成员。PE装载器通过查看它才能准确的找到某个函数或某个资源。 此数据目录表结构中有俩个成员VirtualAddress和Size,这俩成员的含义比较简单,前者指了数据块的相对虚拟地址(RVA)Size则指了该数据块的大小,有时并不是该类型数据的总大小,可能只是该数据类型一个数据项的大小。这俩成员成为位各种表的
位表详解
For Geek
05-10 4202
位表对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要位信息的,因为DLL不一加载到它默认的ImageBase上。位表作为一个单独的区块放到区块表中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
PE文件学习(四)基址
SanSiro1的博客
08-27 2249
数据目录的IMAGE_DIRECTORY_ENTRY_BASERELOC项指向此结构,由于在Windows系统中DLL(动态链接库)文件并不是每次都能加载到预设的基址ImageBase)上,因此基址位主要应用于DLL文件中。       一般情况下位表位于一个名为.reloc的区块内,PE文件中的位结构是由多个IMAGE_BASE_RELOCATION子结构组成的,每个子结构只负责
未署名
V8cangshu的博客
06-02 555
像虚拟内存载入PE文件时(EXE/DLL/SYS/OCX/COM),加载到PE头的ImageBase所知的地址处。 PE头(DOS头/DOS存根/NT头:文件头/NT:可选头/节区头及其下属构成) PE位指的是PE文件将要载入的ImageBase所指的位置已被占用,再加载到其他地址发生的行为。 EXE默认的ImageBase为00 400 000,DLL默认的ImageBase为10 000 ...
如何写自己的壳
土星·北海若
07-06 5712
--------------------------------------------------------------------------------Writing Your Own Packer - by BigBoote --------------------------------------------------------------------------------In
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
paschen的专栏
02-06 8972
用C++封装了可以轻松高效获取PE文件中各信息的类,该类有较高可读性,同时具有一的通用性,适合学习,也适合轻松实现自己的PE文件信息查看软件
IMAGE_BASE_RELOCATION结构体
最新发布
05-28
### IMAGE_BASE_RELOCATION 结构体的义与使用 在 Windows PE 文件格式中,`IMAGE_BASE_RELOCATION` 是一个关键结构体,用于支持动态基地址位(Dynamic Base Relocation)。以下是关于该结构体的义和使用方法的详细说明。 #### 结构体义 `IMAGE_BASE_RELOCATION` 的义如下: ```c typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; // 当前块对应的区域RVA DWORD SizeOfBlock; // 当前块的总大小(包括VirtualAddress的大小) WORD TypeOffset[]; // 类型与偏移量组合列表 } IMAGE_BASE_RELOCATION, *PIMAGE_BASE_RELOCATION; ``` - **VirtualAddress**: 表示当前位块的相对虚拟地址(RVA),即此块在内存中的起始位置[^3]。 - **SizeOfBlock**: 表示当前位块的总大小,包含 `VirtualAddress` 和 `TypeOffset` 列表的大小[^3]。 - **TypeOffset**: 这是一个可变长度的数组,每个元素由 16 位组成,其中高 4 位表示位类型,低 12 位表示偏移量[^3]。 #### 使用方法 `IMAGE_BASE_RELOCATION` 结构体通常通过以下方式使用: 1. **解析位表** 位表位于 PE 文件的 `.reloc` 节区中。通过 `IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress` 可以找到位表的起始 RVA[^3]。然后依次解析每个 `IMAGE_BASE_RELOCATION` 块。 2. **计算位项的数量** 每个位块的大小由 `SizeOfBlock` 字段决。可以通过以下公式计算出 `TypeOffset` 数组的元素数量: \[ n = \frac{\text{SizeOfBlock} - 8}{2} \] 其中,8 是 `VirtualAddress` 和 `SizeOfBlock` 占用的字节数,2 是每个 `TypeOffset` 的字节数[^4]。 3. **应用位** 对于每个 `TypeOffset`,需要根据其高 4 位的类型值执行不同的操作。例如,常见的类型值为 `IMAGE_REL_BASED_HIGHLOW`,表示将目标地址调整为新的基地址。 #### 示例代码 以下是一个简单的代码示例,展示如何解析 `IMAGE_BASE_RELOCATION` 结构体: ```c #include <windows.h> #include <stdio.h> void ParseRelocationTable(PBYTE pImageBase) { PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)(pImageBase + ((PIMAGE_DOS_HEADER)pImageBase)->e_lfanew); PIMAGE_DATA_DIRECTORY pDataDir = &pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]; if (pDataDir->Size == 0) return; PBYTE pRelocData = pImageBase + pDataDir->VirtualAddress; PIMAGE_BASE_RELOCATION pReloc = (PIMAGE_BASE_RELOCATION)pRelocData; while ((DWORD_PTR)pReloc < (DWORD_PTR)pRelocData + pDataDir->Size) { printf("VirtualAddress: 0x%X, SizeOfBlock: 0x%X\n", pReloc->VirtualAddress, pReloc->SizeOfBlock); WORD* pTypeOffset = (WORD*)((PBYTE)pReloc + sizeof(IMAGE_BASE_RELOCATION)); int nEntries = (pReloc->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(WORD); for (int i = 0; i < nEntries; ++i) { printf(" TypeOffset[%d]: 0x%X\n", i, pTypeOffset[i]); } pReloc = (PIMAGE_BASE_RELOCATION)((PBYTE)pReloc + pReloc->SizeOfBlock); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值