问如果从PE报头中删除重定位表地址，会发生什么情况？

EN

删除重定位表可以保证DLL不能被重定位。

因此新的代码(破解代码)不需要计算DLL中的任何地址，并且可以使用常量地址值。

另外，重定位表实际上并不是必需的，因此可以删除它来减小模块的大小，或者用一些数据来替换它。

根据Portable Executable Specification的说法，只有当库必须在不同于其首选加载地址的地址上加载时，才需要重定位表。因此，只要在库的首选地址上加载库，从目录中删除重定位表就不会有任何影响(事实上，这是在映像不支持ASLR时发生的)。

要更改要加载的DLL的名称，通常只需更改导入表。剩下的只是猜测工作，不知道有问题的二进制文件的细节。

我认为重要的是要认识到，并不是所有的“垃圾”都知道他们到底在做什么，也许你正在分析一些根本不应该分析的东西。

也就是说，出于以下几个原因，您可能想要删除位置调整：

在可执行文件中，重定位数据是无用的(并且可以安全地删除)，除非它们是ASLR-aware.

• possibly
• 代码，这将需要重定位条目。而不是添加这些，黑客简单地删除reloc表完全(可能也禁用在标题中的ASLR )
• 如果文件是打包的，您通常运行一个PE重建器在解压的文件，以删除无用的部分数据在磁盘上，并清理PE标题。默认情况下，这些工具中的大多数会从PE中剥离reloc数据。