如果我从 PE 标头中删除重定位表地址会发生什么？

Question

我正在分析一些破解，其中一个将重定位表地址和大小更改为 0。破解者试图通过此实现什么目的？

为了提供更多信息，破解的目的是加载另一个 DLL，将加载表中以前的 Windows DLL 名称更改为自定义的 DLL。

Answer 1

删除重定位表可以保证DLL不能被重定位。
因此新代码（破解代码）不需要计算DLL中的任何地址，并且可以使用常量地址值。

通常重定位表实际上并不是必需的，因此可以将其删除以减小模块的大小，或者用一些数据替换它。

Answer 2

根据可移植可执行文件规范，仅当库必须加载到其首选加载地址之外的另一个地址。因此，只要库加载到其首选地址（事实上，当映像不支持 ASLR 时就会发生这种情况），从目录中删除重定位表就不会产生任何影响。

Answer 3

要更改要加载的 DLL 的名称，通常只需更改导入表即可。剩下的只是猜测工作，不知道相关二进制文件的具体情况。

我认为重要的是要认识到并非所有“黑客”都知道他们到底在做什么，也许您正在分析一些根本不应该分析的东西。

也就是说，您可能出于以下几个原因想要删除重定位：

• 在可执行文件中，重定位数据是无用的（并且可以安全地删除），除非它们支持 ASLR。
• 可能是破解添加了需要重定位条目的代码。破解者没有添加这些内容，而是简单地完全删除了 reloc 表（可能还禁用了标头中的 ASLR），
• 如果文件已打包，您通常会对解压的文件运行 PE 重建程序，以删除磁盘上无用的部分数据并清理 PE标头。默认情况下，大多数这些工具都会从 PE 中剥离重新定位数据。