[讨论]EXE的重定位问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
jesterjy 雪币： 151 活跃值： (29) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 75 粉丝 0 关注私信	jesterjy 1 2 楼不好意思，浪费了看雪的一个宝贵的地方，问了一个这么没有价值的问题。问完这个问题刚好在QQ上看到“玩命”大哥，便向他请教了一下。玩命大哥如是说：这个不叫做重定位也不叫做映射这是正常的你有一个概念的混淆一般说的映射是指的 PE加载器加载PE文件到内存中要执行这个过程叫做映射当然不会进行重定位 DLL会。。。但是你这个映射是指的把文件打开读取到内存中其实就像是CreateFile ReadFile -> Buf 这个过程一样的。此映射和彼映射不一样我的对玩命大哥话的理解：意思是，我说的这个映射只是读到自己的进程空间里了，而没有像PE装载器那样把它新放到一个进程空间中。因此说，用MapViewOfFile映射的概念跟windows装载器的概念完全是两个概念。玩命大哥后来的话：不过也一样也不一样呵呵如果你自己写PE加载器的话也可以用这个函数。。。 PE装载器转载的时候也要先把文件读入到内存中不过要按照PE头的一些字段对内存进行修改。。。如果你自己写虚拟机等可以这样做。。。都是一样的只不过是你概念上不同。。。最后还是感谢玩命大哥的帮助呀~！~！看来是我有时概念混淆~！~！ 2008-11-11 14:28 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼 EXE可能也有重定位表的，不能绝对地说都没有。大部分EXE没有重定位表是因为：EXE作为独立的可执行程序，它初始化时系统会给它分配独立的进程内存空间，这个刚分配的内存空间肯定是可以分配一块与EXE的ImageBase相同地址的内存来装载EXE本身，因此通常不需要重定位。而DLL没有独立的进程空间，必须依附于某个EXE，如果两个DLL的映像基址都是0x10000000,第一个可以加载到这个位置，后加载的肯定得换个位置，这时就得进行重定位，因此必须要准备重定位表。MapViewOfFile映射到内存后的文件与硬盘上的组织方式是一样的，而LoadLibrary才是真正的按PE格式加载到内存。具体怎么进行重定位，可以参考我博客上的一篇文章。http：//hi.baidu.com/_achillis 2008-11-11 14:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼手机打字太慢了，打完了发现我的沙发没了，呵呵 2008-11-11 14:45 0
jesterjy 雪币： 151 活跃值： (29) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 75 粉丝 0 关注私信	jesterjy 1 5 楼感谢感谢~！~！用手机都能回帖，精神可佳呀！！ 2008-11-11 14:50 0
cooloong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	cooloong 6 楼 dll映射到4G的exel平坦的进程空间，ImageBase可以修改的 2008-11-11 17:00 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼   应该说是加载的基址可以修改 2008-11-11 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
jesterjy 雪币： 151 活跃值： (29) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 75 粉丝 0 关注私信	jesterjy 1 2 楼不好意思，浪费了看雪的一个宝贵的地方，问了一个这么没有价值的问题。问完这个问题刚好在QQ上看到“玩命”大哥，便向他请教了一下。玩命大哥如是说：这个不叫做重定位也不叫做映射这是正常的你有一个概念的混淆一般说的映射是指的 PE加载器加载PE文件到内存中要执行这个过程叫做映射当然不会进行重定位 DLL会。。。但是你这个映射是指的把文件打开读取到内存中其实就像是CreateFile ReadFile -> Buf 这个过程一样的。此映射和彼映射不一样我的对玩命大哥话的理解：意思是，我说的这个映射只是读到自己的进程空间里了，而没有像PE装载器那样把它新放到一个进程空间中。因此说，用MapViewOfFile映射的概念跟windows装载器的概念完全是两个概念。玩命大哥后来的话：不过也一样也不一样呵呵如果你自己写PE加载器的话也可以用这个函数。。。 PE装载器转载的时候也要先把文件读入到内存中不过要按照PE头的一些字段对内存进行修改。。。如果你自己写虚拟机等可以这样做。。。都是一样的只不过是你概念上不同。。。最后还是感谢玩命大哥的帮助呀~！~！看来是我有时概念混淆~！~！ 2008-11-11 14:28 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼 EXE可能也有重定位表的，不能绝对地说都没有。大部分EXE没有重定位表是因为：EXE作为独立的可执行程序，它初始化时系统会给它分配独立的进程内存空间，这个刚分配的内存空间肯定是可以分配一块与EXE的ImageBase相同地址的内存来装载EXE本身，因此通常不需要重定位。而DLL没有独立的进程空间，必须依附于某个EXE，如果两个DLL的映像基址都是0x10000000,第一个可以加载到这个位置，后加载的肯定得换个位置，这时就得进行重定位，因此必须要准备重定位表。MapViewOfFile映射到内存后的文件与硬盘上的组织方式是一样的，而LoadLibrary才是真正的按PE格式加载到内存。具体怎么进行重定位，可以参考我博客上的一篇文章。http：//hi.baidu.com/_achillis 2008-11-11 14:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼手机打字太慢了，打完了发现我的沙发没了，呵呵 2008-11-11 14:45 0
jesterjy 雪币： 151 活跃值： (29) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 75 粉丝 0 关注私信	jesterjy 1 5 楼感谢感谢~！~！用手机都能回帖，精神可佳呀！！ 2008-11-11 14:50 0
cooloong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	cooloong 6 楼 dll映射到4G的exel平坦的进程空间，ImageBase可以修改的 2008-11-11 17:00 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼   应该说是加载的基址可以修改 2008-11-11 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复