[求助]“重定向PE用到的地址” 看不懂，内存运行exe其中的一段-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]“重定向PE用到的地址” 看不懂，内存运行exe其中的一段

发表于: 2009-5-3 13:59 4458

[求助]“重定向PE用到的地址” 看不懂，内存运行exe其中的一段

NKCSOS

2009-5-3 13:59

4458

// 重定向PE用到的地址
void DoRelocation(PIMAGE_NT_HEADERS peH, void *OldBase, void *NewBase)
{
unsigned long Delta = (unsigned long)NewBase - peH->OptionalHeader.ImageBase;
PImageBaseRelocation p = (PImageBaseRelocation)((unsigned long)OldBase
      + peH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
while(p->VirtualAddress + p->SizeOfBlock)
{
      unsigned short *pw = (unsigned short *)((int)p + sizeof(*p));
      for(unsigned int i=1; i <= (p->SizeOfBlock - sizeof(*p)) / 2; ++i)
      {
         if((*pw) & 0xF000 == 0x3000){
            unsigned long *t = (unsigned long *)((unsigned long)(OldBase) + p->VirtualAddress + ((*pw) & 0x0FFF));
            *t += Delta;
         }
         ++pw;
      }
      p = (PImageBaseRelocation)pw;
}
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・0

免费・0

支持

最新回复 (1)
NKCSOS 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 18 粉丝 0 关注私信	NKCSOS 2 楼 i <= (p->SizeOfBlock - sizeof(p)) / 2；；；为什么除了2 呢？大小有疑惑 unsigned long t = (unsigned long )((unsigned long)(OldBase) + p->VirtualAddress + ((pw) & 0x0FFF)); 这个也不懂 2009-5-3 14:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NKCSOS

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
NKCSOS 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 18 粉丝 0 关注私信	NKCSOS 2 楼 i <= (p->SizeOfBlock - sizeof(p)) / 2；；；为什么除了2 呢？大小有疑惑 unsigned long t = (unsigned long )((unsigned long)(OldBase) + p->VirtualAddress + ((pw) & 0x0FFF)); 这个也不懂 2009-5-3 14:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复