PE之代码解析重定位表
1)重定位表
重定位表是PE(PortableExecutable)文件中用于处理基地址重定位的核心数据结构,也是逆向工程,漏洞分析,加壳脱壳等场景中高频接触的关键表项。
PE文件编译时会默认指定一个加载基地址(ImageBase),但实际加载到内存时,若该基地址被占用(如内存冲突,ASLR随机化,手动修改加载地址等),系统就需要通过重定位表,对文件中所有依赖基地址的内存引用(如函数调用,全局变量寻址)进行偏移修正。简单来说,重定位表记录了PE文件中所有需要动态调整地址的位置信息,是保证PE文件能在任意内存地址正常加载运行的核心依据。
咱们来看下逆向破解中的典型场景:
脱壳时修复损坏的重定位表:很多加壳程序会加密/压缩原PE的重定位表(防止逆向分析),脱壳后若直接运行,程序会因内存地址未正确修正而崩溃。此时逆向人员需要:先定位加壳程序隐藏的原重定位表数据,解密后重新写入PE的重定位目录,再修正重定位项的RVA与偏移,让程序能正常加载到任意内存地址。
分析恶意程序的地址伪装:部分恶意程序会篡改重定位表,将关键函数/数据的重定位项指向伪造地址(比如把恶意代码的RVA伪装成合法系统API的地址)。逆向时需要解析重定位表,对比重定位项的实际指向与PE节表的对应关系,识别出被篡改的项,从而还原恶意代码的真实内存位置。
手动修改PE加载基地址:有些逆向场景需要强制修改PE文件的默认加载基地址(比如绕过内存防护),但修改后原重定位表的基准RVA会失效。此时需要重新计算所有重定位项的偏移:遍历重定位表,将每个项的完整RVA减去旧基地址,加上新基地址,再更新重定位块的基准RVA,保证程序加载后地址修正正确。
修复因重定位表缺失导致的程序崩溃:部分精简版PE(如恶意程序为减小体积)会删除重定位表,若加载基地址与默认值冲突,程序会直接崩溃。逆向人员需要通过动态调试(如OllyDbg)跟踪程序崩溃时的内存地址,手动识别所有需要重定位的位置,重新构
)
