【PE结构】重定位表

最新推荐文章于 2025-05-13 14:31:34 发布
原创 最新推荐文章于 2025-05-13 14:31:34 发布 · 2k 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#PE结构 #重定位表
本文详细介绍了PE文件中的重定位表,包括其概念、使用规则、表结构和定位方法。重定位表用于记录PE文件中需要修正的地址位置,以适应不同的加载基址。在程序加载时,根据加载基址变化对表中的地址数据进行调整,确保程序正常运行。重定位表是一个结构体数组,每个元素描述4KB区域内重定位信息,包含起始RVA、大小和重定位元素个数等关键信息。

一、前言
二、PE整体结构
三、DOS头
四、NT头
五、区段头
六、导出表
七、导入表
八、资源表

九、重定位表

1.概念

重定位表 存的是PE文件中需要修改(变量数据)的地址的位置。
全局变量和局部静态变量在PE文件数据段中。
程序代码在寻址这些变量时,用的不是偏移RVA,而是直接地址VA。

2.使用规则

我们知道VA=基址+RVA,而基址默认是0x400000,实际可能会发生变化。
所以在每次加载程序时,需要先判断程序加载基址是否是0x400000,如果是,重定位表内容不需要变动,如果不是,重定位表中的地址数据=原数据-原基址+新基址。

3.表结构

重定位表也是一个结构体数组,以全零元素节为,每一个数组元素描述了一页(4KB)内的重定位信息。

typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;     // 需要重定位的区域的位置RVA
    DWORD   SizeOfBlock;        // 结构体大小,包含TypeOffset
    //  WORD    TypeOffset[1];  // 存放相对于VirtualAddress的偏移
} IMAGE_BASE_RELOCATION;
  • VirtualAddress
    一个区域(4KB)的起始位置RVA
  • SizeOfBlock
    当前结构体+TypeOffset数组的整体大小
    区域内(4KB)重定位元素个数=(SizeOfBlock-8)/2
  • TypeOffset
    并不是这个结构体的成员,而是紧挨着IMAGE_BASE_RELOCATION的一个不定长数组。
    TypeOffset是一个以2字节为一个元素的数组
    其中元素的低12位才是偏移地址,高4位是属性
    这个数组内有多少个元素,就代表当前4KB区域内有多少个要修改的地址。
    这个数组里的每个元素,是当前4KB区域内,需要修改的地址,的区域内偏移。
    也就是说,区段内,第N个,需要修改的地址=VirtualAddress+TypeOffset[N]

4.重定位表定位

FOA = 表RVA - 段RVA + 段FOA
= 0x75A000 - 0x75A000 + 0x741E00
= 0x741E00

内部具体值的解析,我们可以通过LoadPE来看一下
这里写图片描述

上一篇: 【PE结构】资源表

PE-重定位表
qq_51600802的博客
10-27 1115
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
PE结构-重定位表
小喇叭儿滴滴的吹
03-04 523
首先,先来说一下为什么需要重定位表,先来观察一段程序 00401000 >/$ 6A 00 push 0 ; /Style = MB_OK|MB_APPLMODAL 00401002 |. 68 1D204000 push 0040201D ...
PE文件解析--重定位表
qq_31125257的博客
12-22 719
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
重定位表
qq_41490873的博客
12-23 285
位于数据目录表的第6个结构, 通过结构的virtualAddress可以找到在文件中的FOA。 重定位表分为几个block,block的第一个4字节是块的virtualAddress第二个四字节是block的大小。 下一个块的FOA=第一个块的FOA+大小 最后一个kuai的前8字节为0结构 ...
PE结构重定位表
輚至消亡
09-27 719
什么是重定位: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址被应用程序占据了或者被其它的DLL占据了,也是很正常的,这时它就不得不进行重定位了。 哪些数据需要重定位: :00401000 55...
PE文件格式中数据目录项中的重定位表和模拟LoadLibrary
qq_35426012的博客
11-15 470
重定位表 重定位表的作用 当链接器生成一个PE文件时,会假设这个文件在执行时被装载到默认的基址处,并把code和data的相关地址都写入到PE文件中,如果加载PE文件时将默认的值作为基地址加载,则不需要重定位。如果PE文件被装载到虚拟内存的另一个地址的话,连接器记录的那个地址就是错误的,这时就需要重定位表来进行调整地址VA 重定位表结构定义 typedef struct _IMAGE_BAS...
PE结构&基址重定位表
寻梦&之璐
02-03 8547
重定位表定位 重定位表为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中, 重定位表所在地址RVA=0x1F000 重定位数据大小=39C RVA转FOA后可以得到文件偏移地址为0x9800 重定位表项IMAGE_BASE_RELOCATION 与导入表类似,重定位表指针指向的位置就是一个数组,而不像导出表一样只有一个结构,这个数组的每一项都是如下结构: IMAGE_BASE_RELOCATION STRUCT VirtualAddress dd ? ;重定位内存页的起始RV
PE文件结构重定位表
最新发布
weixin_43754657的博客
05-13 722
重定位表PE文件格式中的关键数据结构,用于记录可执行文件或DLL中需要重定位的地址信息。其主要作用包括支持地址空间随机化(ASLR)、DLL共享以及可执行文件加载的灵活性。重定位表位于PE文件数据目录项的第6个结构,通常通过RVA(相对虚拟地址)定位。其结构体包含虚拟地址和块大小信息。重定位类型多样,常见的有32位和64位平台的标准重定位类型(IMAGE_REL_BASED_HIGHLOW和IMAGE_REL_BASED_DIR64),以及特定平台如ARM、RISC-V和LoongArch的专用类型。某些
写一个PE的壳_Part 4:修复对ASLR支持+lief构建新PE
可乐松子的博客
05-27 949
文章目录1.解决思路step 1:当前现状step 2:解决思路step 3:内存布局2.修改unpack部分Image BasePE Header and Section3.修改python的打包程序step 1:构建unpack部分step 2:ASLR特殊处理4.构建结果处理 Part 3中遗留了一个隐患,MinGW无法生成重定位表,因此无法产生可移动的二进制文件;Part 4中要处理MinGW生成的可执行文件(不能移动的,即不支持ASLR的二进制文件)的打包问题 1.解决思路 step 1:当前
PE文件(八)导出表
2301_78838647的博客
07-13 1721
重定位表的引入程序加载过程在win32下,每一个PE文件(其可能由多个子PE文件组成)在运行时,操作系统会给分配一个独立的4GB虚拟内存,内存地址从0x00000000到0xFFFFFFFF。其中低2G为用户程序空间,高2G为操作系统内核空间。并且操作系统会将该文件中数据拉伸成内存中数据,从ImageBase开始,分配SizeOfImage大小空间当一个主PE文件由很多个子PE文件组成,当我们运行主PE文件时,所有的PE文件共享操作系统分配的一个4GB虚拟空间。
笔记:PE结构(7)重定位表解析
Q324411601的博客
09-03 353
笔记:PE解析(7)重定位表
PE文件(九)重定位表
2301_78838647的博客
07-15 1390
默认情况下.DLL的ImageBase为0x10000000,所以如果一个程序要用的DLL没有合理的修改分配装载起始地址,就可能出现多个DLL的ImageBase都是同一个地址,造成装载冲突。如果只移动函数名称表的话,对剩下的数据加密后,当需要根据函数名去调用导出函数时,由于字符串被加密,只能根据函数名称表查到名称字符串所在地址,但是无法匹配字符串。6.修改导出表中的成员值,指向三个子表在新节中的位置,由于各个子表在导出表的地址数据是RVA,因此需要将FOA转成RVA。
PE文件解析(5):重定位表详解
ylh的博客
11-02 2228
1、重定位表的作用 重定位表(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位表通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位表的大小可以定位可以确定这个表中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位表不止
PE总结14---PE文件结构重定位表 (IMAGE_BASE_RELOCATION)
oBuYiSeng的博客
12-11 5992
重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址重定位。 // 【基址重定位位于数据目录表的第六项,共8 + N字节】 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; //重定位数据开始的RVA 地址 DWORD SizeOfBloc
pe格式从入门到图形化显示(九)-重定位表
Mrack的博客
04-10 1156
通过分析和解析Windows PE格式,并使用qt进行图形化显示重定位表是Windows PE文件格式中的一种特殊数据结构,用于在程序加载到内存时修正地址。当程序被加载到内存时,它可能不会被加载到其预期的默认地址,而是被加载到其他地址。这就需要对程序中的地址进行重定位,以确保程序能够正确地运行。总之,重定位表PE文件格式中的一种关键数据结构,它用于在程序加载到内存时修正地址,确保程序能够正确地运行。
PE结构重定位表
weixin_43751677的博客
10-10 697
那么,我们找到了要某个绝对地址 需要修改的RVA, 将这个RVA转换成FOA后,这个绝对地址是读DWORD ,还是QWORD?就是说,32位和64位是否有区别?
PE-栈与重定位表
megaparsec
12-19 515
栈与重定位表 栈描述的是代码运行过程中,操作系统为调度程序之间相互调用关系,或临时存放操 作数而设置的一种数据结构重定位表则是在一个PE中的代码被加载到任意一个内存地址 时,用来描述相关操作数地址的变化规律的数据结构。通过重定位技术,代码运行在内存的任意位置时,可以避免因操作数的定位错误而导致失败。 4.1 栈 栈是在程序运行时,操作系 统为调度程序之间相互调用关系或临时存放操作数而设置的一种数据结构。事实上,栈就是 内存的一块域。因为在这块区域中存取数据遵循一定的规则,所以就叫做数据结构。 栈遵循的规则
PE文件学习笔记(四):重定位表(Relocation Table)解析
热门推荐
Apollon_krj的博客
08-18 2万+
1、重定位表的作用重定位表(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
PE目录项之重定位表(解析、移动、模拟运作)
qq_35289660的博客
07-03 2074
PE目录项之重定位表(解析、移动、模拟运作) 文章目录PE目录项之重定位表(解析、移动、模拟运作)0.说明1.解析重定位表(1)作用(2)详解2.移动重定位表到新建节区3.模拟重定位表工作(1)重定位表的工作(2)模拟它工作4.C源代码(1)解析重定位表(2)移动重定位表(3)模拟重定位表工作 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水逆向视频总结(部分截图来自于滴水课件) 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:124588
PE_重定位表
个人笔记
04-05 582
重定位表概述为什么需要重定位表存在?重定位表定位重定位表项IMAGE_BASE_RELOCATION结构结构详解定位实例 概述 加载PE文件到虚拟内存时,EXE默认IMAGEBASE一般为400000,DLL默认IMAGEBASE一般为10000000。 一般情况下,EXE都是可以按照ImageBase的地址进行加载的.因为Exe拥有自己独立的4GB 的虚拟内存空间。 但DLL 不是 DLL是有EXE使用它,才加载到相关EXE的进程空间的。 为了提高搜索的速度,模块间(各个Dll之间)地址也是
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值