X64重定位表修复---X64DBG脚本分享

揰掵佲

一、前言：
      随着64位程序的普及，64位的壳也越来越多，在32位时代有个重定位修复工具RELOX，只要把程序不同基址加载两次，然后dump出来，用relox比较一下就可以得到完整的重定位表，64位下一直也没见relox更新，伸手党看来做不了了，那就自己来解决。
二、LET'S DO IT
     重定位表其实不复杂，64位下代码段不需要重定位，重定位表是按内存页存储的，跟32位没啥不同，写个程序有点复杂，不如用脚本简单，由于x64dbg脚本不支持字符串，为提高运行效率只能混合汇编来实现，dump出的两个不同基址文件分别命名为1.dat，2.dat，存放到调试程序目录下，然后载入脚本运行，成功的话，会在调试器x64目录下生成一个reloc.bin文件，脚本调试在win7 64位下通过，写的比较简单，没有出错提示信息，一点调试基础没有的可能用起来各种错误，好在脚本不长，稍微学习一下就能看懂，欢迎大家补充修改！

1. //////////////////////////////////////////
   
2. var addfile1
   
3. var addfile2
   
4. var hwndfile1
   
5. var hwndfile2
   
6. var sizefile1
   
7. var sizefile2
   
8. var lpCreateFileA
   
9. var lpGetFileSize
   
10. var lpVirtualAlloc
    
11. var lpReadFile
    
12. var store
    
13. var addreloc
    
14. var reloc
    
15. var sizer

支付1火币，阅读全文

还有更多的精彩内容，作者设置为付费后可见