windows PE Image 文件分析（6）--- .reloc 节与 base relocation table

---

.reloc 节和 base relocation table 仅存在于 Image 文件中，用于当映像被加载运行的 ImageBase 改变后，对映像内的使用的地址进行重定位。

需要进行 ImageBase 重定位的映像性能会变得很糟糕。32 位的应用程序在 64 位系统上运行就是一个典型的例子。

下面以前面的 32 位 helloworld.exe 映像为例子

 

1. ImageBase 重定位

编译器会为每个映像建立一个首选的 ImageBase 值，ImageBase 是映像被加载运行时所有地址的基地址，因此 ImageBase 显得非常重要。

1.1 映像的 ImageBase 值

典型地 helloworld.exe 映像的 ImageBase 被设为：0x00400000

OPTIONAL HEADER VALUES
             10B magic # (PE32)
           10.00 linker version
            3C00 size of code
           12000 size of initialized data
               0 size of uninitialized data
           1120D entry point (0041120D) @ILT+520(_wWinMainCRTStartup)
            1000 base of code
            1000 base of data
         400000 image base (00400000 to 00428FFF)
            1000 section alignment
             200 file alignment
            5.01 operating system version
            0.00 image version
            5.01 subsystem version
               0 Win32 version
           29000 size of image
             400 size of headers
               0 checksum
               2 subsystem (Windows GUI)

32 位映像的 ImageBase 都被设为 0x00400000，而 64 位映像的 ImageBase 被设为 0x00000001_40000000

1.2 映像内的地址使用

下面是从 helloworld.exe 映像中的 .text 节摘下来的数据：

  00411490: 6A 64 68 00 72 41 00 6A 67 8B 45 08 50 FF 15 C0  jdh.rA.jg.E.P?.à
  004114A0: 83 41 00 3B F4 E8 D2 FC FF FF 8B F4 6A 64 68 38  .A.;?èòü??.?jdh8

注意上面的蓝色粗体部分，实际上这是一条 call 指令的机器代码，这条指令是：

0041149D:  FF 15 C0 83 41 00      call dword ptr [004183C0h]

实际上，这就是调用 LoadString() 函数的一条指令，LoadString() 的地址就放在 0x004183C0 地址上。

当映像被加载后的 ImageBase 还是 0x00400000，那么这个映像就不需要 ImageBase 重定位，但是很遗憾，特别是当 32 位程序在 64 位系统上运行时，这个情况就发生。

1.3 ImageBase 重定位

在我的实例中，这一次 helloworld.exe 的运行，ImageBase 被加载到 0x012b0000，没错就需要进行 ImageBase 重定位处理。

call dword ptr [004183C0h]

这个情况下，这个 0x004183C0 地址就会产生错误，加载器需要将它重新重位在：0x012C83C0 地址上。

这个 0x012C83C0 是等于：0x004183C0 - 0x00400000 + 0x012b0000 = 0x012C83C0

计算方法就是得到基于 ImageBase 的偏移量再加上新的 ImageBase 值，这个 0x012C83C0 就是正确的函数地址：

012C14B9 FF 15 C0 83 2C 01    call        dword ptr [__imp__LoadStringW@16 (12C83C0h)] 

上面就是 visual studio 2010 调试下得出的 call 指令

 

2. .reloc 节

现在转入正题，看看 helloworld.exe 映像的 .reloc 节，如下表：

域

.reloc 节

VirtualSize

0x00000564

VirtualAddress

0x00028000

SizeOfRawData

0x00000600

PointerToRawData

0x00015400

PointerToRelocations

0

PointerToLinenumbers

0

NumberOfRelocations

0

NumberOfLinenumbers

0

Characteristics

0x42000040

helloworld.exe 的 .reloc 位置在 0x00428000（ImageBase + VritualAddress），它在映像文件的位置是 0x00015400 占用 0x600 bytes 的文件空间

 

3. base relocation table

域

base relocation bale

VirtualAddress

0x00028000

size

0x340

base relocation table 存放在 .reloc 节里，大小为 0x340 bytes

base relocation table 由 IMAGE_BASE_RELOCATION 结构和它的 Entry 组成

3.1　IMAGE_BASE_RELOCATION 结构

这个结构在 WinNT.h 的定义为：

//
// Based relocation format.
//

typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;
    DWORD   SizeOfBlock;
//  WORD    TypeOffset[1];
} IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

VirtualAddress 是 base relocation table 的位置，它是一个 RVA 值，SizeOfBlock 是 Base Relocation Table 的大小

3.2　Entry 结构

Entry 结构只有一个 WORD 值，它紧跟着 IMAGE_BASE_RELOCATION 结构后面，但是这个 WORD 却分为两个部分：

位域

位

长度

描述

Type

[15:12]

4 Bits

高 4 位用来表示 Base Relocation Table 的类型

Offset

[11:0]

12 Bits

低 12 位是 RVA 值，指出需要重定位的位置

这个 12 位的 Offset 值是基于 IMAGE_BASE_RELOCATION 结构的 VirtualAddress， 而 VirtualAddress 是基于 ImageBase 的 RVA 值

因此最终的 Offset 值应该是 ImageBase + VirtualAddress + Offset

在 WinNT.h 中定义了 Base Relocation Table 的类型：

//
// Based relocation types.
//

#define IMAGE_REL_BASED_ABSOLUTE              0
#define IMAGE_REL_BASED_HIGH                  1
#define IMAGE_REL_BASED_LOW                   2
#define IMAGE_REL_BASED_HIGHLOW               3
#define IMAGE_REL_BASED_HIGHADJ               4
#define IMAGE_REL_BASED_MIPS_JMPADDR          5
#define IMAGE_REL_BASED_MIPS_JMPADDR16        9
#define IMAGE_REL_BASED_IA64_IMM64            9
#define IMAGE_REL_BASED_DIR64                 10

大部分的 Base Relocation Table 类型都是 IMAGE_REL_BASED_HIGHLOW 类型，表示被重定位的是 32 位的值。

举个例子，有如下的 Entry 值：

• 93 34

这个 Entry 是 0x3493，那么 Base Relocation Table 类型是 3 也就是 IMAGE_REL_BASED_HIGHLOW 类型，它的 Offset 值是 0x0493，那么需要重定位的位置在 0x00411493

这个值计算方法是：ImageBase + VirtualAddress + Offset = 0x00400000 + 0x11000 + 0x493 = 0x00411493

 

4. helloworld.exe 映像的 Base Relocation Table

00428000  00 10 01 00          // VirtualAddress = 0x00011000
00428004  DC 00 00 00          // SizeOfBlock = 0x000000DC

// Entries

00428008  93 34               // type = 3, offset = 493
0042800A  9F 34               // type = 3, offset = 49F 
0042800C  AF 34               // type = 3, offset = 4AF
0042800E  BB 34               // type = 3, offset = 4BB
00428010  F4 34               // type = 3, offset = 4F4 
00428012  10 35               // type = 3, offset = 510 
00428014  2F 35               // type = 3, offset = 52F 
00428016  46 35               // type = 3, offset = 546 
00428018  59 35               // type = 3, offset = 559 
0042801A  6F 35               // type = 3, offset = 56F 
0042801C  94 35               // type = 3, offset = 594
0042801E  A0 35               // type = 3, offset = 5A0

... ...

 

004280DC  00 20 01 00          // VirtualAddress = 0x00012000
004280E0  20 01 00 00          // SizeOfBlock = 0x00000120

004280E4  0C 30               // type = 3, offset = 00C 
004280E6  15 30               // type = 3, offset = 015 
004280E8  1E 30               // type = 3, offset = 01E 
004280EA  23 30               // type = 3, offset = 023 
004280EC  4D 30               // type = 3, offset = 04D 
004280EE  57 30               // type = 3, offset = 057

... ...

第 1 个 base relocation table 的 size 是 0xDC bytes，因此，下一个 base relocation table 就在 0x004280DC 处

下面是使用 dumpbin 得出的 base relocation table 结果：

BASE RELOCATIONS #7
   11000 RVA,       DC SizeOfBlock
     493  HIGHLOW            00417200  ?szTitle@@3PA_WA (wchar_t * szTitle)
     49F  HIGHLOW            004183C0  __imp__LoadStringW@16
     4AF  HIGHLOW            00417138  ?szWindowClass@@3PA_WA (wchar_t * szWindowClass)
     4BB  HIGHLOW            004183C0  __imp__LoadStringW@16
     4F4  HIGHLOW            004183C4  __imp__LoadAcceleratorsW@8
     510  HIGHLOW            004183C8  __imp__GetMessageW@16
     52F  HIGHLOW            004183CC  __imp__TranslateAcceleratorW@12
     546  HIGHLOW            004183D0  __imp__TranslateMessage@4
     559  HIGHLOW            004183D4  __imp__DispatchMessageW@4
     56F  HIGHLOW            00411590
     594  HIGHLOW            00411598
     5A0  HIGHLOW            004115A4

... ...

   12000 RVA,      120 SizeOfBlock
       C  HIGHLOW            00417734  ___native_startup_state
      15  HIGHLOW            00417734  ___native_startup_state
      1E  HIGHLOW            00415618  ___xi_z
      23  HIGHLOW            0041530C  ___xi_a
      4D  HIGHLOW            0041733C
      57  HIGHLOW            00417734  ___native_startup_state

与 dumpbin 的结果是相符的。

---

版权 mik 所有，转载请注明出处