PE之代码解析重定位表

PE之代码解析重定位表
1）重定位表
重定位表是PE（PortableExecutable）文件中用于处理基地址重定位的核心数据结构，也是逆向工程,漏洞分析,加壳脱壳等场景中高频接触的关键表项。
PE文件编译时会默认指定一个加载基地址（ImageBase），但实际加载到内存时，若该基地址被占用（如内存冲突,ASLR随机化,手动修改加载地址等），系统就需要通过重定位表，对文件中所有依赖基地址的内存引用（如函数调用,全局变量寻址）进行偏移修正。简单来说，重定位表记录了PE文件中所有需要动态调整地址的位置信息，是保证PE文件能在任意内存地址正常加载运行的核心依据。

咱们来看下逆向破解中的典型场景：
脱壳时修复损坏的重定位表：很多加壳程序会加密/压缩原PE的重定位表（防止逆向分析），脱壳后若直接运行，程序会因内存地址未正确修正而崩溃。此时逆向人员需要：先定位加壳程序隐藏的原重定位表数据，解密后重新写入PE的重定位目录，再修正重定位项的RVA与偏移，让程序能正常加载到任意内存地址。
分析恶意程序的地址伪装：部分恶意程序会篡改重定位表，将关键函数/数据的重定位项指向伪造地址（比如把恶意代码的RVA伪装成合法系统API的地址）。逆向时需要解析重定位表，对比重定位项的实际指向与PE节表的对应关系，识别出被篡改的项，从而还原恶意代码的真实内存位置。
手动修改PE加载基地址：有些逆向场景需要强制修改PE文件的默认加载基地址（比如绕过内存防护），但修改后原重定位表的基准RVA会失效。此时需要重新计算所有重定位项的偏移：遍历重定位表，将每个项的完整RVA减去旧基地址,加上新基地址，再更新重定位块的基准RVA，保证程序加载后地址修正正确。
修复因重定位表缺失导致的程序崩溃：部分精简版PE（如恶意程序为减小体积）会删除重定位表，若加载基地址与默认值冲突，程序会直接崩溃。逆向人员需要通过动态调试（如OllyDbg）跟踪程序崩溃时的内存地址，手动识别所有需要重定位的位置，重新构