菜鸟最近在努力学习《加密》,
在DLL脱壳的重建重定位表环节遇到个坎。。。。。。
为了突破者坎,
跟着13章的思路自己写了个重定位工具,
其中也参考了《加密》的PE分析工具源码 。
*************************************
下面写下大概的思路。。。
这个工具需要输入带有重定位RVA的BIN文件,每个RVA以DWORD对齐,最后以一个为0的DWORD结束
程序循环读取每个重定位RVA,计算得到IMAGE_BASE_RELOCATION中的VirtualAddress、TypeOffset和SizeOfBlock;
typedef struct _IMAGE_BASE_RELOCATION {
DWORD VirtualAddress;
DWORD SizeOfBlock;
// WORD TypeOffset[1];
} IMAGE_BASE_RELOCATION;
其中,
VirtualAddress=重定位RVA/0x1000*0x1000;
TypeOffset=重定位RVA%0x1000+0x3000; 0x3000表示高 4位的标志
SizeOfBlock为整个重定位块的大小
以链表的形式储存以上数据
再写入到文件的指定RVA处
最后修改下OPTIONAL_HEADER中的重定位数据目录的地址和偏移;
总之,菜鸟表示很努力学习,求鼓励,求邀请码。。。。
- 标 题:自己写个重定位表重建工具
- 作 者:oftenoften
- 时 间:2010-12-28 18:58:26
- 链 接:http://bbs.pediy.com/showthread.php?t=127251