https://0xrick.github.io/win-internals/pe7/
程序雕塑被编译之后,编译器假设可执行文件将会在特定=1的v z基地址被加载,这个地址被保存在image_optional_header的imagebase成员中,一些地址会被计算出来然后硬编码到可执行文件中
出于各种原因,可执行文件并不会被加载到他想要的那块地址上,而是被加载到另外的一个基地址上,这样的话,所有的硬编码地址都会失效,那么所有硬编码的地址都需要首先进行修复然后才可以被使用
一个保存了所有硬编码的值的列表,用于修复当映像加载到不同于预设的基地址的值,这个列表就叫做relocation table
位于.reloc分区中,重定位就是修复这些硬编码的值的过程就叫做重定位
举个例子,
int test = 2;
int* testptr = &test;
在编译时,编译器会假定一个基地址,比如说0x1000,编译器假定test变量的偏移量为0x100,那么基于这个设定,testptr的值就是0x1100,编译完成后,这个程序被启动,映像被加载到内存中,此时映像被加载到基地址为0x2000的地址,那么testptr的值就是错误的,加载器会修复这个值,通过计算真实基地址和预定义基地址的delta,0x2000-0x1000,那么testptr的新值就是0x2100,(0x1100+delta)
在.reloc分区中,这个表被划分为多个块,每个块代表一个4k的页,每一个块的起始地址必须是32bit的边界
每一个块开始都是一个IMAGE_BASE_RELOCATION结构体,然后是任意个偏移entry
typedef struct _IMAGE_BASE_RELOCATION {
DWORD VirtualAddress;
DWORD SizeOfBlock;
} IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;
每个偏移entry是一个WORD,前4bit定义了relocation类型
后12bit存储了偏移量,相对于IMAGE_BASE_RELOCATION结构体中的VirtualAddress的偏移量
将偏移量加上rva之后,就可以获得一个硬编码的va,这个va就是需要修复的va(如果预定义的基地址没有命中的话)
现在我们已经知道每一个块以一个8字节的结构体开头,每一个entry占2字节,blocksize是0x28,那么就有0x10个entry,也就是16个
https://learn.microsoft.com/en-us/archive/msdn-magazine/2002/march/inside-windows-an-in-depth-look-into-the-win32-portable-executable-file-format-part-2
根据上面这篇文章的介绍,relocation table的作用是给出需要修改的地址所在的地址,也就是硬编码的地址所在的指令的地址
