第16章:基址重定位(2)

PE重定位

使得硬编码在程序中的内存地址随当前加载地址的变化而变化就是PE重定位.

若不添加重定位,而加载时内存地址被占用,则会出现"内存地址引用错误",使得程序异常终止.

PE重定位的操作原理:

 

查找硬编码地址需要用到重定位表(Relocation Table),它是记录硬编码地址偏移的列表.是PE文件构建过程中(编译/链接的时候提供的).

 

重定位表在 Image_optional_header/DataDirectory[5] 中可找到地址,转化为 FileOffset 即可.

 

查看各个节区头的信息,发现在 reloc 节区中,直接查该节区头的 PointerToRawData 字段中的地址.即红色框起来的四字节.

 

SizeOfBlock 后面跟着的元素是很多两字节的 TypeOffset.末端以0结尾.所有重定位块以一个 VirtualAddress 字段为 0 的 IMAGE_BASE_RELOCATION 结构结束

以第一个为例:3424. 高四位(此处是3)是重定位类型,低12位(此处是424)是偏移.

在网上搜索可知,在 Windows 中大部分只采用的 Image_Rel_Based_HighLow(3) 这种类型.

硬编码地址的计算为:1000(Virtual Address)+424(Offset) = 1424(RVA).

转到地址 824 处,占 4 字节,此处为 010010C8:

 

 在可选头中查找到 ImageBase 值,一般来说是 1000000.

 

偏移地址为 010010C8-1000000 = 10C8.从系统获取程序实际加载的基地址,二者相加即可得到重定位地址.

 此处就是10C8+210000 = 2110C8即可看到导入的 DLL 的函数地址.

 

增加一个空节区:

第一:修改 SizeOfImage 大小,需要约进到 SectionAlignment.

第二:修改 FileHeader 中的 NumberOfSections.

第三:添加节区头,根据前面的节区,计算得到后面的值,其中 VirtualSize 可以为0,但是 SizeOfRawData 不能为0.DLL属性可以不填.

需要注意的一点是,如果PE文件中末地址没有包含到自己添加的节区,那么需要自己添加0填充,直到自己添加节区的末地址.