IDA重定位表怎么看 IDA重定位表缺失时怎么判断模块类型

做逆向时，重定位信息往往不只是一个附属表，它会直接影响你对装载方式、模块边界和地址修正逻辑的判断。很多人进到IDA以后先找一个名叫重定位表的独立窗口，结果越找越乱。更实用的做法，是先分清文件格式，再在IDA里结合【Segments】、【Imports】、【Exports】和【Hex dump】去看对应区域，因为Hex-Rays官方文档明确给出了这些子视图和重定位修正相关的【Rebase program】入口，而PE和ELF的官方格式文档又分别定义了重定位区到底放在哪里、记录长什么样。

一、IDA重定位表怎么看

先别急着盯反汇编正文，重定位表更适合从段和头字段往下定位。只要入口找对，后面看的是段内容，不是猜测。

1、先开【View】里的【Segments】和【Hex dump】

IDA官方把【Segments】、【Imports】、【Exports】和【Hex dump】都放在标准子视图里，而Hex View显示的是当前程序的原始字节。实操里先用【Segments】定位候选段，再切到【Hex dump】或反汇编窗口看细节，会比直接在全文里搜字符串更稳。

2、PE文件优先找.reloc和Base Relocation Table

微软的PE规范写得很清楚，Base Relocation Table在可选头数据目录里有地址和大小，对应的镜像段通常就是.reloc；每个块先是Page RVA和Block Size，后面再跟若干个2字节的Type和Offset项，高4位是类型，低12位是页内偏移。你在IDA里顺着这个RVA跳过去，看见这种块状结构，基本就不是瞎找。

3、ELF文件优先找.rel或.rela系列段

Oracle的ELF文档说明，重定位节常见类型是SHT_REL和SHT_RELA，命名上通常会跟着目标节走，所以常见名字是.rel.text、.rela.text这一类。对动态样本来说，再结合.dynamic、.dynsym、.got这些段一起看，能更快判断这些重定位是给链接期用，还是给运行时装载器用。

4、需要验证装载修正时再看【Rebase program】

Hex-Rays官方对【Rebase program】和【Move segment】都写了【Fix up relocations】选项，含义就是让IDA在移动段或整体重定位时修正对这些段的引用。如果一个样本本身有成体系的重定位信息，这一步通常更顺；如果这一步很难成立，往往也说明你该回头检查它是不是本来就没有可用的基址重定位。

二、IDA重定位表缺失时怎么判断模块类型

重定位表没了，不代表模块类型就没法看。更靠谱的判断方式，是先看头字段，再看装载相关段，最后再回到导入导出和入口点。

1、PE先看SizeOfOptionalHeader和Characteristics

微软文档明确指出，PE目标文件的SizeOfOptionalHeader应当为0，而可执行映像会带可选头；同一处文档还定义了IMAGE_FILE_DLL标志，置位时说明这是DLL。也就是说，重定位表没了，先别急着猜，先看它到底是目标文件、EXE还是DLL。

2、PE再看IMAGE_FILE_RELOCS_STRIPPED

微软规范明确说明，IMAGE_FILE_RELOCS_STRIPPED表示文件不包含基址重定位，因此必须装到首选基址；而链接器对EXE的默认行为就是去掉基址重定位。这个信息很关键，因为它告诉你，看到没有.reloc的PE，不一定是坏文件，很多时候它只是一个固定基址的EXE。

3、PE还可以补看入口点和导入导出

同一份PE规范还说明，AddressOfEntryPoint对程序映像是起始地址，而对DLL来说入口点是可选的，没有时可为0。放到IDA里，若再结合【Imports】和【Exports】窗口一起看，通常就能把普通EXE、DLL和更像链接中间产物的文件分得更清楚。

4、ELF直接看e_type

ELF这边更直接，Oracle文档把e_type定义得很清楚，ET_REL是可重定位目标文件，ET_EXEC是可执行文件，ET_DYN是共享对象。也就是说，ELF里就算某一组重定位节被裁掉了，模块类型仍然优先看ELF头，不要先被节名带偏。

三、IDA里哪些字段最值得先看

真到排查阶段，最怕的是信息很多却没有顺序。把顺序固定下来，判断速度会快很多。

1、先看文件头字段

PE先看SizeOfOptionalHeader、Characteristics、AddressOfEntryPoint和Base Relocation Table的RVA与大小；ELF先看e_type。头字段给的是模块身份，优先级高于段名和字符串。

2、再看装载相关段

PE重点看.reloc。ELF重点看.rel、.rela、.dynamic、.dynsym、.got。因为这些段直接反映它是静态收束后的映像，还是还保留装载期修正逻辑的模块。

3、最后看IDA里的导入导出和重定位修正行为

【Imports】和【Exports】窗口能补充模块角色判断，而【Rebase program】里的【Fix up relocations】则能帮你验证当前数据库对装载修正是否有支撑。头字段、段结构和IDA行为这三层放在一起看，结论会比只看一个.reloc是否存在更稳。

总结

IDA重定位表怎么看，核心不是找一个专门的表窗口，而是先在IDA里用【Segments】和【Hex dump】定位，再按PE的.reloc或ELF的.rel、.rela去读记录。IDA重定位表缺失时怎么判断模块类型，关键也不是死盯有没有重定位，而是回到文件头字段本身去看，PE重点看SizeOfOptionalHeader、IMAGE_FILE_DLL、IMAGE_FILE_RELOCS_STRIPPED和入口点，ELF重点看e_type。把这套顺序走顺之后，样本就算没有完整重定位表，模块身份通常也还是能判断出来。