PE文件解析（5）：重定位表详解

文章目录

重定位表

重定位表

1、重定位表的作用
重定位表（Relocation Table）用于在程序加载到内存中时，进行内存地址的修正。
并不是所有的exe程序都有重定位表，但是DLL却是必须需要重定位信息。
在这里插入图片描述

每一个重定位表（每一块颜色区域），包括virtualaddress和size和每个表所含的偏移数据值
在这里插入图片描述

重定位表的结构体解析

重定位表通过IMAGE_BASE_RELOCATION的结构体。

 typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;
    DWORD   SizeOfBlock;
//  WORD    TypeOffset[1];
} IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

重要字段

VirtualAddress：重定位表记录的每个偏移数据的基址。
SizeOfBlock： 重定位表的大小（VirtualAddress + SizeOfBlock + 各偏移的总大小）

通过重定位表的大小可以定位可以确定这个表中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小，偏移数据占据2个字节，因此再除以2可以得到偏移数据的个数。

注意：当我们得到某个偏移数据后，他只是个RVA，还需要加上VirtualAddress才是它真正的地址。

寻找重定位表

数据目录表中记录重定位表的偏移地址是 0x1F000h
在区段表中寻找： 0x1F000的合适位置，可以得到区段表的索引为8的区段的偏移地址为 0x1F000h，就是重定位表的RVA，所以利用公式：数据FOA= 数据RVA - 区段 RVA + 区段FOA，可以得到： 1F000 - 1F000 + 9200h(FOA) 可以得到重定位表的FOA： 0x9200。
可以找到 0x9200的偏移地址，再加上基址可以得到重定位表的地址，在 010editor可以直接看到此地址：前四个字节为DWORD型的virtual

可以看到：

virtualaddress： 011000h
size： 68h 重定位表的大小：68h个字节
总大小减去 8字节（virtualaddress和size自身的大小），得到60h即是重定位表中偏移数据的大小，偏移数据占据WORD型两个字节，因此除以2可以得到这张重定位表中偏移数据的总个数： 0x30个。
如何得到偏移数据的真正地址？我们可以看到紧跟之后的数据为 0x3698 0x32E8，但他们都只是偏移，表面上我们还需要加上virtualaddress，才是这个数据真正的地址.
但是要记住：这个2字节数据占据16位，其中高4位为一个标记，低12位才是数据的真正的值。即：0x3698按位与 0x0FFF 才得到低12位的数据， 然后再加上virtualaddress的基址，即得到：0x11698，所以这个值就是我们重定位表存储的真正的偏移值。

代码解析重定位表

  
void cPE::GetRelocation()
{
	//获取重定位表的偏移地址	
	IMAGE_DATA_DIRECTORY RelocationAddr = pOptionHeader->DataDirectory[5];
	//获取重定位表
	PIMAGE_BASE_RELOCATION RelocationTable = (PIMAGE_BASE_RELOCATION)(RvaToFoa(RelocationAddr.VirtualAddress) + FileBuff);
	if (RelocationTable == NULL)
	{
		printf("重定位表为空!\n");
		return;
	}
	UINT CountTable = 0;
	while (1)
	{
		if (RelocationTable->VirtualAddress == 0)
		{
			break;
		}
		CountTable++;
		//获取偏移数据的个数
		DWORD NumOfBlock = (RelocationTable->SizeOfBlock - 8) / 2;
		//指向相加，加的是sizeof（类型）
		WORD* PrelocOffset =(WORD*)RelocationTable +4;	//跳过8个字节，到达第一个偏移的位置
		for (UINT i = 0; i < NumOfBlock; i++)
		{
			//偏移地址的高4位为标志	位，低12位为数据位，高四位等于3 证明其是个有效的数据
			if (((*PrelocOffset) & 0x3000) == 0x3000)
			{
				DWORD Rva = (*PrelocOffset & 0x0FFF) + RelocationTable->VirtualAddress;
				printf("Rva: %#x\n", Rva);
			}
			PrelocOffset++;
		}
		//继续遍历下一个重定位表
		RelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)RelocationTable + RelocationTable->SizeOfBlock);
	}
	printf("重定位表的总数: %d\n", CountTable);
}

运行可得：我们的重定位表不止有一个，在一个重定位表之后就是另一个重定位表，可以通过

 RelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)RelocationTable + RelocationTable->SizeOfBlock);

得到下一个重定位表，然后再此重复执行此操作，即可得到了所有的便宜数据。
在这里插入图片描述

posted @ 2022-11-02 23:08 hugeYlh 阅读(367) 评论(0) 编辑收藏举报来源

helloylh

PE文件解析（5）：重定位表详解

文章目录

重定位表

重定位表的结构体解析

寻找重定位表

代码解析重定位表

公告

搜索

常用链接

我的标签

随笔分类

随笔档案

阅读排行榜

评论排行榜

推荐排行榜

最新评论

感谢分享

	typedef struct _IMAGE_BASE_RELOCATION {
	DWORD VirtualAddress;
	DWORD SizeOfBlock;
	// WORD TypeOffset[1];
	} IMAGE_BASE_RELOCATION;
	typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;


	void cPE::GetRelocation()
	{
	//获取重定位表的偏移地址
	IMAGE_DATA_DIRECTORY RelocationAddr = pOptionHeader->DataDirectory[5];
	//获取重定位表
	PIMAGE_BASE_RELOCATION RelocationTable = (PIMAGE_BASE_RELOCATION)(RvaToFoa(RelocationAddr.VirtualAddress) + FileBuff);
	if (RelocationTable == NULL)
	{
	printf("重定位表为空!\n");
	return;
	}
	UINT CountTable = 0;
	while (1)
	{
	if (RelocationTable->VirtualAddress == 0)
	{
	break;
	}
	CountTable++;
	//获取偏移数据的个数
	DWORD NumOfBlock = (RelocationTable->SizeOfBlock - 8) / 2;
	//指向相加，加的是sizeof（类型）
	WORD* PrelocOffset =(WORD*)RelocationTable +4; //跳过8个字节，到达第一个偏移的位置
	for (UINT i = 0; i < NumOfBlock; i++)
	{
	//偏移地址的高4位为标志位，低12位为数据位，高四位等于3 证明其是个有效的数据
	if (((*PrelocOffset) & 0x3000) == 0x3000)
	{
	DWORD Rva = (*PrelocOffset & 0x0FFF) + RelocationTable->VirtualAddress;
	printf("Rva: %#x\n", Rva);
	}
	PrelocOffset++;
	}
	//继续遍历下一个重定位表
	RelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)RelocationTable + RelocationTable->SizeOfBlock);
	}
	printf("重定位表的总数: %d\n", CountTable);
	}