PE文件结构(五岁以下儿童)基地搬迁

PE文件结构(五岁以下儿童)

參考

书:《加密与解密》

视频:小甲鱼 解密系列 视频

基址重定位

链接器生成一个PE文件时,它会如果程序被装入时使用的默认ImageBase基地址(VC默认exe基地址00400000h。dll基地址10000000h),而且会把代码中全部指令中用到的地址都使用默认的基地址(比如 程序代码中 push 10001000,就是把10000000h当做了基地址,把push 10001000写入到文件里)。如果一个exe程序中一个dll装载时的地址与其他dll地址发生冲突(由于windows程序是虚拟地址空间,exe一般不会有地址冲突,载入dll时可能会有地址冲突),就须要改动代码中的地址,如push
10001000。call 10002000等。

这时就须要用进行基址重定位。而基址重定位表中存放了,假设默认地址被改。须要改动的代码的地址。在PE文件里。基址重定位表一般放在一个单独的 ".reloc" 区。能够通过IMAGE_OPTIONAL_HEADER 中 的DataDirectory[5] 查看 基址重定位表 的RVA。

比如:

用W32Dasm 查看 Demo.dll  (下载地址:http://pan.baidu.com/s/1qWDepo4)

图片1

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmlsbHZzbWU=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >

能够发现MyMessageBox 这个函数,看看它的代码中的push 10006040 。 push 10006030 中的地址是指向字符串的。

假设一个程序在载入Demo.dll时由于Demo.dll 默认的地址被占用了。而使用其他的基地址,比如使用20000000h作为基地址,Demo.dll就从20000000h開始装载。这样字符串“Demo”和“Hello World!” 就不是在10006040h跟10006030h中了,这时就须要把push 10006040 。 push 10006030改成push
20006040 , push 20006030 。

基址重定位表是由一个一个IMAGE_BASE_RELOCATION结构  构成的。

图片2

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmlsbHZzbWU=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" height="455" width="587" >

IMAGE_BASE_RELOCATION 结构:

typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;
    DWORD   SizeOfBlock;
//  WORD    TypeOffset[];
} IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

当中 VirtualAddress  表示 这一组地址的起始RVA。

SizeOfBlock表示当前这个IMAGE_BASE_RELOCATION 结构的大小。TypeOffset是一个数组,它的元素个数就是( SizeOfBlock - 8 ) / 2 ,TypeOffset 每个元素占用两个字节即16位。当中高4位表示重定位类型(一般都为3)。低12位表示重定位地址。

实例分析:

查看Demo.dll的第一个 IMAGE_BASE_RELOCATION 结构

图片3

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmlsbHZzbWU=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >

能够发现:

VirtualAddress  为1000h

SizeOfBlock      为 0164h

TypeOffset[0]   0333h  即 3是重定位类型  33h为重定位地址

TypeOffset[1]   0338h

TypeOffset[2]   0340h

........

通过Type低12位+VirtualAddress 能够知道前三个的地址为1033h,1038h。1040h 。

再来看看图片1中Demo.dll的代码,能够发现1033h就是图片1中的push 10006040中的10006040,1038h就是push 10006030中的10006030 。

假设载入dll,发现不是使用默认的基地址,PE载入器就会把基址重定位表中所写的地址的值改掉。

改掉方法是把原先的值加上 实际基地址 - 默认基地址 的值。

版权声明:本文博客原创文章,博客,未经同意,不得转载。

时间: 2024-10-07 13:59:45

PE文件结构(五岁以下儿童)基地搬迁的相关文章

python学习笔记(五岁以下儿童)深深浅浅的副本复印件,文件和文件夹

python学习笔记(五岁以下儿童) 深拷贝-浅拷贝 浅拷贝就是对引用的拷贝(仅仅拷贝父对象) 深拷贝就是对对象的资源拷贝 普通的复制,仅仅是添加了一个指向同一个地址空间的"标签",东西都是一样的.改变或者添加,复制出来的变量也会改变 样例: >>> a=[1,2,3] >>> b=a >>> a [1, 2, 3] >>> b [1, 2, 3] >>> a[1]=0 >>>

阐述php(五岁以下儿童) 注意事项和使用功能

1.函数声明 <?php /** * function 函数名(參数1, 參数2.... ){ * 函数体; * 返回值; * } */ $sum = sum(3, 4); echo $sum; function sum($x, $y){ $sum = 0; $sum = $x * $x + $y + $y; return $sum; } ?> 2.变量的范围 局部变量: 在函数中声明的变量就是局部变量, 仅仅能在自己的函数内部使用. 全局变量: 在函数外声明的变量就是全局变量, 在变量声明以

设计与实现的简单和经常使用的权限系统(五岁以下儿童):不维护节点的深度level,手工计算level,树形结构

以这种方式.和第三的类似介绍.所不同的是.深度未在数据库中存储节点level,添加和更改时间,护.而是,在程序中,实时去计算的. 至于后面的,依照level升序排序,再迭代全部的节点构造树,与第三篇中的方法,全然一样.因此,本篇和下一篇,仅仅介绍怎样计算level.不再介绍后面的详细实现了. 计算level,採用递归方式. // 计算全部节点的level public static List<Map<String, Object>> caculateLevel( List<M

linux下一个Oracle11g RAC建立(五岁以下儿童)

四.建立主机之间的信任关系(node1.node2) 建立节点之间oracle .grid 用户之间的信任(通过ssh 建立公钥和私钥) 分别在node1和node2创建 =====Oracle用户========================= 在oracle用户下操作: [[email protected] /]# su - oracle [[email protected] ~]$ mkdir .ssh       创建一个.ssh的隐藏文件夹 [[email protected] ~]

《世界如此险恶,你想要一个强大的心脏》读书笔记(五岁以下儿童)

(1)男人 VS 女人 男人通过利益的获取来证明自己的高档,而女人恰恰是通过和女人,特别是熟悉或是同类 的女人的对照. 因此,注定会有一些女人,她们的存在本身.就会得罪还有一些女人. 两个陌生男人之间所存在的敌意.远大于两个陌生女人之间. 秘密是:相互陌生的男人之间有着潜在的暴力上的威胁,而相互陌生的女人之间没有. 可是,假设彼此熟悉,甚至是同事,那么,两个女人之间所存在的敌意.就远大于两个男人之间. 秘密是:相互熟悉的男人之间.仅仅有在利益上才构成威胁.而女人之间.一个人的存在本身 就是对还有

Servlet(五岁以下儿童)web.xml一些常用的配置

(1)lode-on-startup,这Servlet该项目启动时它将被称为(从主要的电话init办法,为了安全起见,一般不应为Servlet建立URL制图).一些数据通常被用作前处理,或使用多线程建立经常性的任务 <servlet><pre name="code" class="html"><span style="font-family:Arial, Helvetica, sans-serif;"> <

阐述linux IPC(五岁以下儿童):system V共享内存

[版权声明:尊重原创.转载请保留源:blog.csdn.net/shallnet 要么 .../gentleliu,文章学习交流,不用于商业用途] system V共享内存和posix共享内存类似,system V共享内存是调用shmget函数和shamat函数. shmget函数创建共享内存区,或者訪问一个存在的内存区,类似系统调用共享内存的open和posix共享内存shm_open函数. shmget函数原型为: #include <sys/ipc.h> #include <sys

bluetooth发展(五岁以下儿童)------蓝牙功能测试(一个)

newton板已出版.下面再组织我调试的一小方面,,蓝牙功能的实现和测试: 转载请注明出处:http://blog.csdn.net/wang_zheng_kai 以下是我写的newton开发板中bluetooth阅读文档README的一部分. 3.2. Bluetooth Function Test 141 142 1)View the Bluetooth MAC address and device names:hcitool dev 143 144 eg: 145 146 [[email 

Android Bluetooth Stack: Bluedroid(五岁以下儿童):The analysis of A2DP Source

1. A2DP Introduction The Advanced Audio Distribution Profile (A2DP) defines the protocols and procedures that realize distribution of audio content of high-quality in mono or stereo on ACL channels. As indicated in the diagram of 'Protocol Model', A2