PE加载的过程
任何一个EXE程序会被分配4GB的内存空间,用户层处理低2G的内存,驱动处理高2G的内存。
- 1、双击EXE程序,操作系统开辟一个4GB的空间。
- 2、从ImageBase决定了加载后的基址,ImageSize决定了程序有多大。
- 3、然后加载DLL
大体流程:
1、PE被执行时,装载器为进程分配虚拟地址空间,在此情况下,并不是把完整的PE文件载入到磁盘中,而是做一个简单的内存映射。
2、PE装载器在内核中创建进程对象和主进程对象以及其他的内容。
3、PE装载器搜索输入表,装载应用程序所用的动态链接库,方式类似于应用程序的装载。
4、PE装载器执行PE文件首部所指定地址的代码,开始执行应用程序。
PE文件头中的重定位表
程序被装入内存时,其基址是由字段IMAGE_OPTIONAL_HEADER32.ImageBase决定的。如果当装载时该位置已经被别的程序使用,那么操作系统就有权重新选择一个基地址。这个时候就需要对所有的重定位信息进行修正,而修正的依据就是PE的重定位表。
重定位表结构
重定位表为数据目录中注册的数据类型之一,其描述信息处于数据目录的第6个目录项中。
typedef struct _IMAGE_BASE_RELOCATION {
DWORD VirtualAddress; // 页存储的起始RVA
DWORD SizeOfBlock; // 重定位块的长度
} IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;
参考
滴水逆向第三期重定位