PE文件结构之打印重定位表

零五零八

pe文件之重定位表

1.为什么出现重定位表？

一个软件一般由一个exe和多个dll组成，当一个exe运行的时候exe文件先根据ImageBase来载入内存，dll也是属于pe文件，首先是exe先载入内存，多个dll文件中的ImageBase也许会被其他dll占取，又因为编译以后地址是写死的，dll文件中的ImageBase被占住，只能占别的地方，因为地址写死，占的不是原来的地址，所以需要重定位表来标明需要修改的地址


2.在可选pe目录中，最后16个结构体的，第6个是是重定位表

注意：VirtualAddress是RVA，如在文件中使用（不是载入内存）则需要转换为FOA


第一个结构中的VirtualAddress指向的是第二个结构体的开始第二个结构中的VirtualAddress指向的是重定位表的开始，SizeOfBlock表示块的大小

3.重定位表的结构



①判断一共有几块数据最后一个结构的virtualAddress与SizeOfBlock都为0，则结束。②0011101010101010是第一项，先判断高四位0011值为3 代表的是需要修改的数据值为0 代表的是用于数据对齐的数据，可以不用修改当高4位是3则低12位101010101010是需要修改的地方的偏移地址真正的RVA = VIrtualAddress + 具体项的低地址
③具体项的数量 =（SizeOfBlock-8）/2
④下一个起始地址 = VirtualAddress + SizeOfBlock

1. #include "stdafx.h"
   
2. #include <stdlib.h>
   
3. #include <stdio.h>
   
4. #include <windows.h>
   
5. 
   
6. DWORD ReadPEFile(char* filepath,PVOID* pFileBuffer)
   
7. {
   
8.     PVOID pTempFileBuffer = NULL;
   
9.     DWORD Filesize = 0;
   
10. 
    
11. 
    
12.     FILE* pFile = NULL;
    
13.     pFile = fopen(filepath,"rb");
    
14.     if(!pFile)
    
15.     {
    
16.         printf("文件打开失败");
    
17.         return 0;
    
18.     }
    
19.     fseek(pFile,0,SEEK_END);
    
20.     Filesize = ftell(pFile);
    
21.     fseek(pFile,0,SEEK_SET);
    
22. 
    
23.     pTempFileBuffer = malloc(Filesize);
    
24. 
    
25.     if(!pTempFileBuffer)
    
26.     {
    
27.         printf("申请动态内存失败");
    
28.         fclose(pFile);
    
29.         return 0;
    
30. 
    
31.     }
    
32. 
    
33.     size_t n = fread(pTempFileBuffer,Filesize,1,pFile);
    
34.     if(!n)
    
35.     {
    
36.         printf("文件写入文件缓冲区失败");
    
37.         free(pTempFileBuffer);
    
38.         fclose(pFile);
    
39.         return 0;
    
40.     }
    
41.     *pFileBuffer = pTempFileBuffer;
    
42.     pTempFileBuffer = NULL;
    
43.     free(pTempFileBuffer);
    
44.     fclose(pFile);
    
45. 
    
46.     return Filesize;
    
47. 
    
48. }
    
49. 
    
50. DWORD RvaToFoa(PIMAGE_NT_HEADERS pNTHeader, DWORD dwRVA)
    
51. {
    
52.     PIMAGE_SECTION_HEADER pSection = (PIMAGE_SECTION_HEADER)((DWORD)pNTHeader + sizeof(IMAGE_NT_HEADERS));
    
53. 
    
54.     for(int i = 0; i < pNTHeader->FileHeader.NumberOfSections; i++)
    
55.     {
    
56.         if(dwRVA >= pSection[i].VirtualAddress && dwRVA < (pSection[i].VirtualAddress + pSection[i].SizeOfRawData))
    
57.         {
    
58.             return pSection[i].PointerToRawData + (dwRVA - pSection[i].VirtualAddress);
    
59.         }
    
60.     }
    
61. 
    
62.     return 0;
    
63. }
    
64. 
    
65. 
    
66. 
    
67. void relocation(PVOID pFileBuffer)
    
68. {   
    
69.     BYTE secName[9] = {0};
    
70.     PIMAGE_DOS_HEADER pDosHeader;
    
71.     PIMAGE_NT_HEADERS pNtHeaders;
    
72.     PIMAGE_BASE_RELOCATION  pBaseRec;
    
73.     PIMAGE_SECTION_HEADER pSectionHeader;
    
74. 
    
75.     pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    
76.     pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);
    
77. 
    
78.     printf("重定位表的相对虚拟地址：%x\n",pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
    
79.     printf("重定位表的大小：%x\n",pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size);
    
80. 
    
81.     DWORD pBaseRecOffset = RvaToFoa(pNtHeaders, pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress); //注意这个VirtualAddress是VA
    
82.     pBaseRec = (PIMAGE_BASE_RELOCATION)(pBaseRecOffset+(DWORD)pFileBuffer);
    
83.     pSectionHeader = (PIMAGE_SECTION_HEADER)(pNtHeaders+1);
    
84. 
    
85.     for(int i=0; pBaseRec->SizeOfBlock && pBaseRec->VirtualAddress; i++)
    
86.     {
    
87.         DWORD FOA = RvaToFoa(pNtHeaders, pBaseRec->VirtualAddress);
    
88.         DWORD size = (pBaseRec->SizeOfBlock - 8 )/2; // VirtualAddress SizeOfBlock共占8字节，每个项2字节
    
89. 
    
90.         //确定该结构所属的节
    
91. 
    
92.          for(DWORD j=0;j<pNtHeaders->FileHeader.NumberOfSections;j++)
    
93.          {
    
94.              DWORD lower =RvaToFoa(pNtHeaders, pSectionHeader[j].VirtualAddress);
    
95.              DWORD upper =RvaToFoa(pNtHeaders, pSectionHeader[j].VirtualAddress+pSectionHeader[j].Misc.VirtualSize);
    
96. 
    
97.             if(FOA>=lower && FOA<=upper )
    
98.             {
    
99.                 memcpy(secName,pSectionHeader[j].Name,8);
    
100.                 break;
     
101.             }
     
102.          }
     
103.          printf("第%d块.Relocation\n VirtualAddress %x(%s)\n SizeOfBlock %x\n", i+1, pBaseRec->VirtualAddress,secName, size); //打印本页的主要信息
     
104.          printf("RVA,TYPE\n");
     
105. 
     
106.          //打印一个页中，所有重定位地址与信息
     
107.          WORD * recAddr = (WORD *)((BYTE *)pBaseRec+8); //指向第一个目录项
     
108.         //如果高4位是3则取后12位地址加上VirtualAddress才是真正需要修复的数据的Rva
     
109.          for(j=0; j<size; j++)
     
110.          {
     
111.             DWORD offset = (recAddr[j] & 0x0FFF) + FOA ;
     
112.             WORD type = recAddr[j] >> 12;
     
113. 
     
114.             if(type!=0)
     
115.             {
     
116.                  printf("%08X,  %x\n",offset+pBaseRec->VirtualAddress,type);
     
117.             }
     
118.          }
     
119.         memset(secName, 0, 9);
     
120.         pBaseRec = (PIMAGE_BASE_RELOCATION )((BYTE *)pBaseRec + pBaseRec->SizeOfBlock);//移到下一页
     
121.     }
     
122. }
     
123. 
     
124. 
     
125. 
     
126. int main(int argc, char* argv[])
     
127. {
     
128.     char filepath[] = "F:\\pwn\\test\\TTTT.dll";
     
129.     PVOID pFileBuffer = NULL;
     
130. 
     
131. 
     
132.     ReadPEFile(filepath,&pFileBuffer);
     
133.     relocation(pFileBuffer);
     
134. 
     
135.     return 0;
     
136. }

复制代码