-
-
[PEDIY]改造重定位重建工具ReloX 1.2,让其支持64位程序(7月27日更新修正bug)
-
发表于: 2024-5-22 12:06
-
ReloX v1.0 是ImportREC 作者MackT在2003年写的一款重定表重建工具,其原理是是比较2个不同基址DLL的内存映像,根据不同数据,生成一张重定位表,原版只支持32位的PE文件。最近在准备《加密与解密》第五版中的64位PE文件重定表一块,花点时间将这个工具扩展了一下,让其支持64位的PE文件。
1) - 在“Original”行上使用“...”按钮选择第一个基址映像。
基址会自动生成。如果不正确,请修改它。
2) - 在“Compare to”行上使用“...”按钮选择第二个基址映像。
基址会自动生成。如果不正确,请修改它。
3) - 点击“Select Sections”选择包含代码进行比较的所有部分(默认是全部)。
4) - 点击“Compare”开始两个映像文件的比较。
结果将显示在列表控件中。
5) - 点击“Fix PE Module”选择一个PE文件,并使用新的“.reloc”节修复它。
32位程序和64位程序重定位结构基本一样,区别就在于32位程序重定位类型都是IMAGE_REL_BASED_HIGHLOW(16进制值是3),64位程序的重定位类型都是IMAGE_REL_BASED_DIR64(16进制的值是0xA,十进制是10)。
重定位表结构:
IDA打开ReloX1.exe,搜索字符串“IMAGE_REL_BASED_HIGHLOW”,找到两处调用,改成指向新的字符串“IMAGE_REL_BASED_DIR64”
修改成:
导出的Relocs文本文件,改这里:
对TypeOffset进行处理
改成与 IMAGE_REL_BASED_DIR64(0xA)
经过这样处理,生成的重定位表,就符合PE32+要求了。
32位PE和64位PE32+,其IMAGE_DATA_DIRECTORY偏移不同,这部分代码需要修正,不然生成的文件,重定位表地址是错的。
32位PE文件,IMAGE_DATA_DIRECTORY离IMAGE_OPTIONAL_HEADER距离为0x78-0x18=0x60,64位PE32+文件,这个距离为0x88-0x18=0x70
找到处理32位PE的代码如下
这样修改后,就可以处理64位PE文件了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
是根据32位和64位显示的: 004222EA . 66:813E 0B02 cmp word ptr [esi], 20B //IMAGE_OPTIONAL_HEADER->Magic 004222EF . 74 0D je short 004222FE 004222F1 . 9D popfd 004222F2 . 61 popad 004222F3 . 89B1 C8000000 mov dword ptr [ecx+C8], esi 004222F9 .^ E9 2812FEFF jmp 00403526 //处理PE32+,SMC补丁相关代码 004222FE > C605 0C714000 0A mov byte ptr [40710C], 0A 00422305 . C705 74544000 0CB74200 mov dword ptr [405474], 0042B70C //00405473 push 0042B70C ASCII "IMAGE_REL_BASED_DIR64(10)" 0042230F . C705 3F624000 0CB74200 mov dword ptr [40623F], 0042B70C //0040623E push 0042B70C ASCII "IMAGE_REL_BASED_DIR64(10)" 00422319 . C605 CA494000 A0 mov byte ptr [4049CA], 0A0
最后于 2024-5-23 09:29
被kanxue编辑
,原因:
|
|
|
和之前应该差不多,精减了些内容,页码缩为500-600,可以将书结合论坛精华帖来学习。 |
|
|
|
|
|
将附件提供上来看看 |
|
|
|
|
|
处理了一下64位ImageBase,功能目前正常了,请重新下载附件,若还有问题欢迎反馈.
最后于 2024-7-27 22:27
被kanxue编辑
,原因:
|
|
|
|
|
|
想不到 第 5 版 已在 路上,
最后于 2024-8-3 09:23
被plusv编辑
,原因:
|
|
|
|
|
|
|
