操作系统是如何使用重定位表的

原創 hambaga 2020-07-04 09:08

一、重定位表的结构

重定位表是数据目录中第6项,它的结构如图示:
在这里插入图片描述

重定位表由多个块(block)组成,每个块内部由三部分组成——VirtualAddress、SizeOfBlock 和若干个2字节偏移。SizeOfBlock 表示当前块的大小,当 SizeOfBlock 与 VirtualAddress 同时为0,表示重定位表结束。

VirtualAddress 表示一个页面的基址的RVA,2字节偏移的数量 = (SizeOfBlock - 8) / 2,VirtualAddress+2字节偏移表示一个32位地址。其中,2字节偏移又分为高4位和低12位,高四位是属性,当它等于0011时,表示这个地址需要“重定位”;低12位刚好足够表示一个页面的所有地址,因为32位页面大小 = 2^12 = 4KB.

有了上述概念以后,就可以写出解析重定位表的程序了。但是对于初学者来说,重定位表是个啥,里面存的东西到底怎么使用,还是不清楚的。在讲解操作系统如何使用重定位表之前,不妨先了解一下为什么需要重定位表。

二、为什么要设计重定位表

每个PE文件(exe,dll)都有一个 ImageBase 表示它在4GB虚拟地址空间中加载的位置,一个运行的程序由一个exe和多个dll构成。对于exe来说,它总是最先加载到内存中,因此没有其他模块会和它抢内存,它总是可以加载到它希望去的位置,也就是exe指定的ImageBase;但是dll就不是这样了,也许程序用到了3个dll,它们的ImageBase都是1000000H,那就一定会发生冲突,后加载的dll只能往高地址加载了。

在这里插入图片描述

在代码中会用到一些写死的地址,例如:

100012CD  |.  E8 5EFEFFFF   CALL 10001130

这个地址 10001130 是 ImageBase + RVA 算出来的,对于DLL2来说,由于无法抢占到期望的 ImageBase ,所以写死的地址就无效了,要改成 20001130 才对,因此就需要用一个表来记录下所有需要修正的地方,重定位表就是为了解决这个问题而设计的。

三、重定位表里存的是什么

重定位表存储的地址由 VirtualAddress + 2字节偏移 得到,计算出来的是RVA,加上 ImageBase 就是在内存中的地址。假设DLL2期望的ImageBase是 10000000,实际分配到的 ImageBase 是 20000000,程序里有一条指令:

100012CD  |.  E8 5EFEFFFF   CALL 10001130

那么重定位表里一定在某个地方存储了 12CD 这个地址(VA+2字节偏移得到),类似的地址还有很多,每个2字节偏移就对应一个这样的地址。那么操作系统在加载DLL时,就会用DLL指定的 ImageBase + 12CD 得到一个地址,然后去修改里面写死的地址,也就是将 10001130 改成 20001130,修改当然就是加上实际ImageBase和期望ImageBase的差值了。

这就是操作系统使用重定位表的时候做的事情。

四、解析重定位表的代码

// 打印重定位表
VOID PrintRelocationTable(LPVOID pFileBuffer)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)(pDosHeader->e_lfanew + (DWORD)pDosHeader + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	//PIMAGE_SECTION_HEADER pSectionHeader = \
	//	(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
		
	PIMAGE_BASE_RELOCATION pBaseRelocation = \
		(PIMAGE_BASE_RELOCATION)((DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pOptionHeader->DataDirectory[5].VirtualAddress));
	
	while (pBaseRelocation->VirtualAddress || pBaseRelocation->SizeOfBlock)
	{
		puts("-------------------------------------");
		printf("VirtualAddress = %08x\n", pBaseRelocation->VirtualAddress);
		printf("SizeOfBlock = %08x\n", pBaseRelocation->SizeOfBlock);
		PWORD pwAddr = (PWORD)((DWORD)pBaseRelocation + 8);
		int n = (pBaseRelocation->SizeOfBlock - 8) / 2;
		printf("要修改的地址个数 = %d\n", n);		
		for (int i = 0; i < n ; i++)
		{
			WORD wProp = (0xF000 & pwAddr[i]) >> 12;
			WORD wAddr = 0x0FFF & pwAddr[i];
			printf("[%d]:RVA = %08x\t属性 = %d\n", i+1, pBaseRelocation->VirtualAddress + wAddr, wProp);
		}
		pBaseRelocation = (PIMAGE_BASE_RELOCATION)((DWORD)pBaseRelocation + pBaseRelocation->SizeOfBlock);
	}	
}

运行结果
用LordPE验证了运行结果的正确性:
在这里插入图片描述

五、模拟操作系统使用重定位表修正地址

编写程序,修改ImageBase的值,然后模拟DLL加载时操作系统根据重定位表做的地址修正工作。
代码在我的机器上测试过,修改后的DLL能够正常使用。

// 修改 ImageBase 并修复重定位表
VOID SetImageBase(LPVOID pFileBuffer, DWORD dwNewImageBase)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)(pDosHeader->e_lfanew + (DWORD)pDosHeader + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	
	PIMAGE_BASE_RELOCATION pRelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)pFileBuffer + \
		RvaToFoa(pFileBuffer, pOptionHeader->DataDirectory[5].VirtualAddress));	
	DWORD dwImageBaseDelta = dwNewImageBase - pOptionHeader->ImageBase; // 新旧ImageBase 的差值	
	
	// 重定位表的 VirtualAddress + 低12位偏移 = RVA
	// RVA + ImageBase 这个内存里存储了一个“指针”
	// 要修改的是这个“指针”的值,要让这个“指针”加上两个ImageBase的差值
	while (pRelocationTable->VirtualAddress || pRelocationTable->SizeOfBlock)
	{		
		size_t n = (pRelocationTable->SizeOfBlock - 8) / 2; // 可能需要修改的地址数量(高4位==0011才要修改)
		PWORD pOffset = (PWORD)((DWORD)pRelocationTable + 8); // 2字节偏移的数组
		for (size_t i = 0; i < n; i++)
		{
			// 高4位等于0011才需要重定位
			if ((pOffset[i] & 0xF000) == 0x3000)
			{
				// 计算需要重定位的数据的RVA地址
				DWORD dwRva = pRelocationTable->VirtualAddress + (pOffset[i] & 0x0FFF);
				// 计算在文件中的偏移
				DWORD dwFoa = RvaToFoa(pFileBuffer, dwRva);
				// 计算在文件中的地址
				PDWORD pData = (PDWORD)((DWORD)pFileBuffer + dwFoa);
				// 重定位,即修正写死的地址				
				*pData += dwImageBaseDelta;
			}
		}
		
		pRelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)pRelocationTable + pRelocationTable->SizeOfBlock);
	}
	// 修改 ImageBase
	pOptionHeader->ImageBase = dwNewImageBase;
}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Windows BitLocker解锁PE工具

常用筆記本的朋友肯定又遇到忘記的密碼的場景, 今天遇到指紋無法解鎖導致需要PIN解鎖,用PE嘗試修改密碼。發現硬盤有BitLocker加密,無法進行修改   嘗試各種方法,發現一款帶BitLocker解鎖工具純淨PE(只有解鎖BitLoc

瘦瘦的胖子 2020-07-07 13:16:41

防静态跟踪和防动态跟踪

一 參考網址 反靜態分析和反動態跟蹤 二 靜態跟蹤概念 方法: 將關鍵代碼,藏起來或者加密.使得反彙編出來的程序中,看不到或者無法識別,則做到防靜態分析. 工具: IDA Pro可以將程序反彙編,查看其破解源碼. 三 逆向操作

学海无涯-学以致用 2020-07-07 06:52:24

移动重定位表到新增节

一、爲什麼要移動重定位表 數據目錄中的表是分散在各個節裏的,如果對節進行加密,操作系統找不到表,就無法加載程序。因此加密前要先把表移動到新的節裏。 二、怎麼移動 計算重定位表的大小,首先要遍歷重定位表,累加 SizeOfBlock

hambaga 2020-07-04 09:08:21

导入表注入原理和C语言实现

一、導入表注入的原理 注入是把DLL加載到另一個進程的4GB地址空間中,實現方式有很多種,導入表注入是我學的第一種注入,是通過修改程序的導入表,把自己的DLL添加到導入表中,來實現這個目的。 導入表是連續存儲在節裏的,它後面還有其

hambaga 2020-07-04 09:08:21

移动导出表到新增节

一、爲什麼要移動導出表 移動導出表是指將導出表以及其內部的三張子表移動到新增節,這個操作是軟件加密的第一步。因爲軟件加密會把節進行加密,而數據目錄是在節裏的,加密後操作系統不認識了,因此我們要把數據目錄裏面的東西移動到一個新的節裏

hambaga 2020-07-04 09:08:21

PE 数字签名

http://www.youdzone.com/signature.html  英文文章,介紹了證書與簽名的關係。 http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_sign

keidoekd2345 2020-06-25 06:31:55

PE:AddNewSection

DWORD AddNewSection(IN PVOID pFileBuffer, OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIM

zmmycsdn 2020-06-23 10:32:11

PE:copyBaseRelocation2NewSection

DWORD copyBaseRelocation2NewSection(IN PVOID pFileBuffer,OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader

zmmycsdn 2020-06-23 09:54:38

PE文件之miansha

首先來簡單瞭解一下殺毒軟件查殺病毒的原理,當前殺毒軟件對病毒的查殺主要有特徵代碼法和行爲監測法。其中前一個比較方法古老,又分爲文件查殺和內存查殺,殺毒軟件公司拿到病毒的樣本以後,定義一段病毒特徵碼到病毒庫中,然後與掃描的文件比對,如果一致

丸子头 2020-06-22 13:28:06

PE学习笔记1

文章目錄與PE相關概念地址擴展虛擬內存VA相對虛擬內存地址RVA文件偏移FOA特殊地址數據目錄節對齊PE文件結構 學習筆記來源《Windows.PE權威指南》這本書 與PE相關概念 地址 VA(Virtual Address):虛

我还在_ 2020-06-19 01:40:59

Project Euler NO46

Christian Goldbach 提出每個奇合數都可以寫作一個質數與一個平方數的二倍之和: 9 = 7 + 212 15 = 7 + 222 21 = 3 + 232 25 = 7 + 232 27 = 19 + 222 33

q2234037172 2020-06-16 06:19:03

Project Euler NO43

1406357289是一個pandigital數,因爲它包含了0到9之間每個數字且只包含了一次。此外它還有一個有趣的子串整除性質。 令d1表示其第一位數字,d2表示第二位,以此類推。這樣我們可以得到: d2d3d4=406 能被 2 整

q2234037172 2020-06-16 06:19:03

Project Euler NO22

文件names.txt (右鍵另存爲)是一個46K大小的文本文件,包含5000多個英文名字。利用這個文件,首先將文件中的名字按照字母排序,然後計算每個名字的字母值,最後將字母值與這個名字在名字列表中的位置相乘,得到這個名字的得分。 例

q2234037172 2020-06-16 06:19:03

Project Euler NO41

如果一個數字將1到n的每個數字都使用且只使用了一次,我們將其稱其爲一個n位的pandigital數。例如,2143是一個4位的pandigital數

q2234037172 2020-06-16 06:19:03

Project Euler NO34

145 是一個奇怪的數字, 因爲 1! + 4! + 5! = 1 + 24 + 120 = 145. 找出所有等於各位數字階乘之和的數字之和。注意

q2234037172 2020-06-16 06:19:03