[讨论]WIN64重载内核的重定位表问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]WIN64重载内核的重定位表问题

发表于: 2016-4-2 10:20 9985

[讨论]WIN64重载内核的重定位表问题

绿林科技

2016-4-2 10:20

9985

请问WIN64和WIN32的重定位表到底有什么区别？同样的修复重定位表的代码，WIN32内核能正常运行，而WIN64却不能，有人知道他们之间的区别吗？谢谢！

值                   常量符号                                                          含义

0       IMAGE_REL_BASED_ABSOLUTE       无意义，仅做对齐作用

1       IMAGE_REL_BASED_HIGH                   双字节中，仅高十六位被修正

2       IMAGE_REL_BASED_LOW                   双字节中，仅低十六位被修正

3       IMAGE_REL_BASED_HIGHLOW          双字32位都需要修正

4       IMAGE_REL_BASED_HIGHADJ          进行基地址重定位时将差值的高十六位加到指定偏移处的一个16位域上。这个十六位域是一个32位字的高半部分，而这个32位字的低半部分被存储在紧跟在这个Type/Offset位域后面的一个16位字中。也就是说，这一个基地址重定位项占了两个Type/Offset位域的位置

5       IMAGE_REL_BASED_MIPS_JMPADDR          对MIPS平台的跳转指令进行基地址重定位

6                                                                                  保留，必须为0

7                                                                                  保留，必须为0

9       IMAGE_REL_BASED_MIPS_JMPADDR16    对MIPS16平台的跳转指令进行基地址重定位

10       IMAGE_REL_BASED_DIR64                进行基地址重定位时将差值加到指定偏移处的一个64位域上

不知大伙觉得红色这行（WIN64内核重定位），应该如何操作。

欢迎加群讨论：177822398
177822108

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

PE32结构图.jpg （73.69kb，79次下载）
PE64结构图.jpg （71.47kb，42次下载）
Win64重定位.jpg （76.12kb，39次下载）

收藏・11

免费

支持

最新回复 (18)

hekes

雪币： 5088

活跃值： (2570)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

234

粉丝

关注

私信

hekes: 2 楼

mark

2016-4-2 11:20

绿林科技

雪币： 19

活跃值： (108)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

绿林科技: 3 楼

找到问题根源了
IMAGE_REL_BASED_DIR64
修正方法不同

2016-4-2 14:08

苏小妖

雪币： 22

活跃值： (57)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

苏小妖: 4 楼

强烈关注中。。。。

2016-4-2 14:08

luskyc

雪币： 248

活跃值： (3789)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

938

粉丝

关注

私信

luskyc: 5 楼

x64不可以的

2016-4-2 16:28

iceway

雪币： 19

活跃值： (1106)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

813

粉丝

关注

私信

iceway: 6 楼

可以的
我试过\

void FixBaseRelocTable(PVOID pNewImage)
{
 
    ULONG                   uIndex;
    ULONG                   uRelocTableSize;
    ULONG_PTR                   OriginalImageBase;
    ULONG                   Type;
    ULONG_PTR                   *uRelocAddress;
    PIMAGE_DOS_HEADER       pImageDosHeader;
    PIMAGE_NT_HEADERS64     pImageNtHeader;
    IMAGE_DATA_DIRECTORY    ImageDataDirectory;
    IMAGE_BASE_RELOCATION   *pImageBaseRelocation;
    //将新内核地址作为一个PE文件头，依次向下，目的是寻找重定位表结构
    pImageDosHeader=(PIMAGE_DOS_HEADER)pNewImage;
    //定位到IMAGE_NT_HEADER
    pImageNtHeader=(PIMAGE_NT_HEADERS64)((ULONG_PTR)pNewImage+pImageDosHeader->e_lfanew);
    //获取内核文件的imagebase，以便后面做偏移修改。
    OriginalImageBase=pImageNtHeader->OptionalHeader.ImageBase;
    //定位到数据目录
    ImageDataDirectory = pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];
    //定位到重定位表结构
    pImageBaseRelocation = (PIMAGE_BASE_RELOCATION)(ImageDataDirectory.VirtualAddress + (ULONG_PTR)pNewImage);
    if (pImageBaseRelocation==NULL)
    {
        return;  
    }
    while (pImageBaseRelocation->SizeOfBlock)
    {   //计算需要修改的地址的个数
        uRelocTableSize=(pImageBaseRelocation->SizeOfBlock-8)/2;
        //循环遍历
        for (uIndex=0;uIndex<uRelocTableSize;uIndex++)
        {//判断高4位是否等于3
            Type=pImageBaseRelocation->TypeOffset[uIndex]>>12;
            if (Type==IMAGE_REL_BASED_DIR64)
            {
                //修改地址，相对地址加上一个新内核地址，使其成为一个实际地址
                uRelocAddress=(ULONG64 *)((ULONG64)(pImageBaseRelocation->TypeOffset[uIndex]&0x0fff)+pImageBaseRelocation->VirtualAddress+(ULONG64)pNewImage);
                //再加上内核首地址到imagebase的偏移
                *uRelocAddress=*uRelocAddress+(OrigImage-OriginalImageBase);
            }
        }
        //进行下一个重定位表的修改
        pImageBaseRelocation=(IMAGE_BASE_RELOCATION *)((ULONG64)pImageBaseRelocation+pImageBaseRelocation->SizeOfBlock);
    }
}