x32dbg/x64dbg PE Relocation - PE 재배치 표시

x32dbg/x64dbg가 재배치된 PE 파일을 어떻게 표시하는지 알아보자.

 

프로그램을 x86dbg에서 로드하고 CPU창에서 기계어 코드를 보면 빨간 밑줄로 표시된 코드를 볼 수 있다.  이건 어떤 의미일까? 제일 먼저 만나게 되는 00D93691 주소의 A037D900 을 확인해 보자.

 

우선 Symbols 창을 확인해 보자. notepad.exe는 00D90000 주소에 로딩 되었다.

 

Address of Entry Point는 00003689 이다.

 

Base Relocation Table을 확인해 보면 RVA 3691에 PE 재배치 작업이 필요한 하드코딩 주소가 있는걸 확인할 수 있다. 그래서 x86dbg/x96dbg는 00D93691에 빨간 밑줄을 표시한다.

 

 

다른 위치도 확인해 보자. Base Relocation Table에서 RVA 14AF 주소를 발견했다. 이 위치의 기계어 코드에도 밑줄이 표시되어 있을까?

34AF - 최상위 4비트(Type) = 4AF(Offset)

RVA = 1000(RVA of Block) + 4AF = 14AF

Virtual Address = 00D90000(파일 실제 로딩 주소) + 14AF = 00D914AF

 

00D914AF 주소에 빨간 밑줄이 표시되어 있다.