PE文件详解（八）

本文转载自小甲鱼PE文件详解系列教程原文传送门

当应用程序需要调用DLL中的函数时，会由系统将DLL中的函数映射到程序的虚拟内存中，dll中本身没有自己的栈，它是借用的应用程序的栈，这样当dll中出现类似于mov eax, [1000000]这样直接寻址的代码时，由于事先并不知道它会被映射到应用程序中的哪个位置，并且可能这个内存地址已经被使用，所以当调用dll中的函数时，系统会进行一个基址重定位的操作。系统是根据dll中的基址重定位表中的信息决定如何进行基址重定位，哪些位置的指令需要进行基址重定位。

所以这次主要说明基址重定位表。

这个重定位表位于数据目录表的第六项。这个表的主要结构如下：

IMAGE_BASE_RELOCATION STRUC

    VirtualAddress      DWORD        ?  ; 重定位数据开始的RVA 地址
    SizeOfBlock         DWORD        ?  ; 重定位块得长度
    TypeOffset          WORD         ?  ; 重定项位数组

IMAGE_BASE_RELOCATION  ENDS

VirtualAddress 是 Base Relocation Table 的位置它是一个 RVA 值

SizeOfBlock 是 Base Relocation Table 的大小；

这个结构的示意图如下：



TypeOffset 是一个数组，数组每项大小为两个字节（16位），它由高 4位和低 12位组成，高 4位代表重定位类型，低 12位是重定位地址。高4位一般是3，表示这个地址是一个32位的地址，它与 VirtualAddress 相加即是指向PE 映像中需要修改的那个地址的位置，注意这里不是定位到对应代码的位置

接下来进行手工的方式找到需要重定位的代码位置：

打开一个dll文件，发现它的基址重定位表所在RVA = 0x00004000

通过计算得到它是在.relo ，对应文件的偏移为0x800,查看这个位置的值为：



VirtualAddress = 0x1000,

SizeOfBlock = 0x18

通过它的大小，得知需要重定位的位置主要有(0x18 - 8) / 2 = 8，最后一个以0结尾，所以实际上总共有7处需要重定位

这8个位置分别为:0x028, 0x02e, 0x003e 0x04b, 0x051, 0x61, 0x6c



后面的以此类推，可以发现这些需要重定位的位置，存储的都是一些立即寻址的地址