13.5.4 构造重定位表

作者: 段钢等编著出处:电子工业出版社　2008-06-22 15:30　砖好评论条　进入论坛

阅读提示：《加密与解密》第13章主要讲的是脱壳技术,任何事物都有两面性，有加壳，就必有脱壳,本节为大家介绍构造重定位表。

13.5.4 构造重定位表

对于DLL的动态链接库文件来说，重定位数据一般是必需的。外壳很可能破坏了原始的重定位表，将原始的重定位表换个形式存储，运行时模拟PE加载器的重定位功能，对相关代码重定位。脱壳必须根据PE文档的重定位表的定义，重新构造一份新的重定位表。
先来回顾一下重定位表的结构：

IMAGE_BASE_RELOCATION STRUCT
VirtualAddress dd 0
SizeOfBlock  dd 0
Type1   dw 0; 其中：Bit15～Bit12为类型 type，Bit11～Bit0 为ItemOffset
IMAGE_RELOCATION ENDS

重定位表以1000h大小为一个段，因为ItemOffset最长为12位，即刚好为1000h。如果还有更多段，将重复上面数据结构，直到VirtualAddress为NULL，表示结束。如图13.48所示是重定位表结构的一个示意图。

图13.48 重定位表结构示意图

外壳重定位相关数据时，会根据外壳转储的重定位表确定要重定位的RVA，再加上当前的基址，完成代码重定位工作。本节构造重定位原理就是将这些要重定位的RVA提取出来，再将这些RVA根据重定位表的定义重新生成一份新的重定位表。根据这个原理，笔者写了一款工具来完成这个重建功能，详见光盘映像文件中的ReloREC。

OllyDbg加载EdrLib.dll，来到重定位初始化的地方，代码如下：

003E01F6  mov     esi, dword ptr [ebp+299]      ;取原重定位表RVA
003E01FC  or      esi, esi
003E01FE  je      short 003E0233
003E0200  add     esi, dword ptr [ebp+351]     ;加上载入基址
003E0206  mov     edi, dword ptr [ebp+351]     ;取当前基址
003E020C  mov     ebx, edi
003E020E  sub     edi, dword ptr [ebp+29D]   ;当前基址减去默认基址
003E0214  movzx   eax, byte ptr [esi]          ;从外壳转储的重定位表结构取数据
003E0217  jmp     short 003E022F
003E0219  cmp     al, 3                           ;是本段重定位数据第一项吗
003E021B  jnz     short 003E0227
003E021D  inc     esi                             ;指向下一个数据
003E021E  add     ebx, dword ptr [esi]           ;得到需要重定位项目的地址
003E0220  add     dword ptr [ebx], edi           ;进行重定位
003E0222  add     esi, 4
003E0225  jmp     short 003E022C
003E0227  inc     esi
003E0228  add     ebx, eax                        ;得到需要重定位项目的地址
003E022A  add     dword ptr [ebx], edi          ;进行重定位
003E022C  movzx   eax, byte ptr [esi]           ;从外壳转储的重定位表结构取数据
003E022F  or      al, al
003E0231  jnz     short 003E0219
003E0233  push    dword ptr fs:[30]

接下来在上面代码中找到一个点，将需要重定位的RVA取出来，经分析，3E022F这个点比较合适，执行到这句，EBX寄存器保存的就是需要重定位的地址。补丁的思路是找块代码空间，跳过去执行补丁代码，补丁代码可能是将重定位的地址转成RVA，并保存下来。本例选取3E0289这个地址放补丁，注意此处并不是代码空白处，是存放了外壳的一些参数，当执行3E01FC这句后，这段数据外壳已不用了。因此当OllyDbg第一次来到3E022F这句时，键入如下的补丁指令：

003E022C  movzx   eax, byte ptr [esi]      
003E022F  jmp     short 003E0289               ;补丁此处
003E0231  jnz     short 003E0219

然后在3E0289h处键入如下补丁代码：

003E0289  pushad                        ;保存各寄存器的值
003E028A  mov     edx, dword ptr [3F0000]   ;从全局变量3F0000h取一地址指针
003E0290  sub     ebx, E20000       ;减外壳基址，将ebx中的地址转成RVA
003E0296  mov     dword ptr [edx], ebx     ;将获得的RVA保存下来
003E0298  add     edx, 4        ;指向下一个DWORD地址
003E029B  mov     dword ptr [3F0000], edx    ;将指针保存到全局变量中
003E02A1  popad                          ;恢复各寄存器的值
003E02A2  or      al, al      ;原外壳的指令
003E02A4  jmp     short 003E0231    ;跳回外壳代码

这段补丁代码读者必须根据本机情况调整一些参数，例如E20000h这是外壳被加载后的基址，3F0000h这个地址是OllyDbg的插件HideOD分配的，如图13.49所示。

图13.49 利用OllyDbg插件分配临时空间

这个分配空间的地址是随机的，读者系统环境可能会分配到其他值。在3F0000h地址处键入3F0010h，这个地址用来存放获得的重定位RVA，如图13.50所示。

（点击查看大图）图13.50 利用一个全局变量当地址指针

补丁代码键入完成后，外壳在处理重定位相关代码时，这段补丁代码将需要重定位的RVA全部提取出来，执行后效果如图13.51所示。

（点击查看大图）图13.51 获得需要重定位地址的RVA

从3F0014h开始就是需要重定位代码的RVA，每个地址占用一个DWORD字节。切换到OllyDbg的数据窗口，将3F0014h～3F0AF8h这段需要重定位的RVA复制出来（选取数据时，最后一个DWORD数据是0），操作时单击鼠标右键，执行菜单“Binary/Binary copy”（二进制复制）功能，再运行WinHex，新建一文档，将这段二进制数据粘贴进去，粘贴时，选择“ASCII Hex”模式（见图13.52），然后将提取的数据保存为Relo.bin。Relo.bin中就是需要重定位的地址，以RVA表示。部分数据如下：

ReloREC这款工具，就是根据这些RVA重新生成一份新的重定位表。准备工作完成后，运行ReloREC，将Relo.bin拖放到ReloREC主界面上可打开此文件，如图13.53所示。在“Relocation’s RVA”域里填上原始重定位表的RVA地址，本例为C000h，最后单击“Fix Dump”按钮，打开上节刚修复输入表的dumped_.dll文件，即可完成重定位表的修复。

图13.52 WinHex里以ASCII Hex粘贴

图13.53 ReloREC工具界面

【责任编辑：夏书 TEL：（010）68476606】

回书目 上一节 下一节

关于加密解密分析脱壳 OEP 调试技能加密保护加密与解密的

文章

博文

帖子

· 13.5.1 寻找OEP(06/22)

· 13.5.3 重建DLL的输入表(06/22)

· 13.5.2 Dump映像文件(06/22)

· 18.2.4 DLL劫持技术(06/22)

· 15.1.1 BeingDebugged(06/22)

· Excel数据处理与分析

· 解密时遇到的小麻烦

· 上海市电力数据中心应急容灾系统的案例分析

· IBM基于主机平台的两地三中心灾备解决方案的实..

· 数据容灾的带宽及时延性能分析

· 华为3Com路由器交换机专用报文分析器

· 网络丢包现象分析处理指导书

· 下一代入侵检测技术分析

· 【强力推荐】U盘超级加密 2008 破解版

· 【加密狗破解QQ366347286电话13594047286不成..

专题

我也说两句

叫好

拍砖

中国最大的网络技术网站 ·
技术成就梦想

·假期读书充电

· Linux笔试面试题选摘测..
· 08年5月软考网管上午真..
· 性能测试从零开始目录
· 08年5月软考网工上午真..
· 上周拒绝服务攻击（DDo..
· 08年5月各大网上书店及..

· 2008年5月24日软考试题..
· 软件设计师专家临考模..
· 上周网络管理员专家自..
· 网络工程师自测获奖名..
· 08年4月各大网上书店及..
· 系统分析师自测获奖名..

排行榜

·假期读书充电 (查看6648次)
·1.2 网络定义 (查看1194次)
·《网管员必读—网络应用》自测.. (查看1065次)
·SQL Server入门到精通技术自测.. (查看1053次)
·历次技术自测获奖网友详细信息 (查看1017次)

·SQL Server入门到精通技术自测试题答案 (7个砖)
·超级网管员——网络应用技术自测试题答案 (6个砖)
·网管员全真面试题自测获奖结果及答案解析 (4个砖)
·历次技术自测获奖网友详细信息 (4个砖)
·免费讲座：搜索引擎营销打造成功网站 (3个砖)

·假期读书充电 (13个好)
·SQL Server入门到精通技术自测试题答案 (4个好)
·1.2 网络定义 (3个好)
·Visual C++数字图像处理开发入门与编程实践 (3个好)
·路由器配置自测获奖结果及答案解析 (3个好)

·加密与解密 (06月)
·ASP.NET 2.0+SQL Server 2005企业项目开发与实战 (06月)
·Oracle 11 RAC生存指南 (06月)
·程序员考试考前冲刺预测卷及考点解析 (06月)
·Java数据库系统开发案例精选 (06月)

·最新Linux认证复习题模拟测试
·专题：浏览器的战国时代

· 大辩论：还应该再考CCI..
· 专家讲解：SQL注入攻击..
· 如何判断某个弹出窗口..
· 在Silverlight中使用Is..
· 美国议员再次责难中国..
· 51CTO独家全书连载中：..
· ASP.NET 2.0+SQL Serve..
· 上周 Linux 笔试面试题..

· 趋势CEO炮轰反毒产业糟..
· Exchange服务器不能发..
· 微软月底彻底停售XP为V..
· 美国又一无线城市项目..
· Linux笔试面试题选摘自..
· 周末病毒预报：U盘病毒..
· Firefox首日下载破纪录..
· 用Sniffer和ARP分析网..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖