pe结构分析之手工段表构建

最新推荐文章于 2022-05-22 12:46:19 发布
最新推荐文章于 2022-05-22 12:46:19 发布
阅读量329 收藏
点赞数
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/120961689
版权

目录

预备知识

1.本文的数据段中涉及了有关stud_pe的使用方法和关于导入表的知识,因此建议先完成《pe结构分析之手工修复导入表》。
2.了解PE文件结构:
在这里插入图片描述
3.段表(节表)在PE中的作用。简单来说,段表是一个程序正真存放内容的地方。程序运行所执行的代码,执行中所用到的数据,都在段表这个结构之中。段表又被称为节表,英文(SECTION TABLES),是PE的核心内容,PE中的其他结构都是为了辅佐段表中的内容被正确加载和执行而产生的。
4.区段名功能约定(只是约定,不一定完全遵守):
在这里插入图片描述
5.windowsPE弹窗程序的说明:
简单来讲,程序需要messagebox和exit两个函数就可以完成。
而从Pe结构上分析而言,需要的段表结构有3个:
1)代码段。
2)表示上面两个调用的数据段,用来表示导入函数(messagebox,exit)的信息。
3)表示一些代码段中涉及的字符串数据段。

实验目的

将通过实验,根据这些信息找到线索,修复问题。

实验环境

在这里插入图片描述
测试环境:windows xp sp3

实验步骤一

实验背景假设。
系统中原本存在一个可以弹窗的正常程序,结果某一天被黑了。现场发现只有一些数据,逆向分析师需要根据这些数据来修复程序。工程师们收集到了一些奇怪的数据,存放在一个叫clues.txt中。经过分析,工程师们修复了问题,留下一句“折腾半天全是段表的事”,消失在人群中,深藏功与名。你能根据这些信息找到线索,还原出工程师们到底做了什么吗?
在这里插入图片描述
为此,本实验大致需要执行以下三个步骤:
1.调试分析程序,找出错误原因。
2.从所给信息中分析出数据应该在哪个段及在PE文件中的位置,添加至文件。
3.修复其他涉及到段结构的部分,调试程序,使之正常运行。
任务描述:查错,找出问题所在。
1.试运行程序DemoToFix.exe,查看情况。
在这里插入图片描述
从图中可以看到,程序无法正常运行,但是现在我们还不知道是什么原因,将程序拖拽至OD中,看看能有什么提示信息。
在这里插入图片描述
很遗憾,OD也提示程序无法启动。
2.没办法,看来只能手工修复了。将demotofix.exe拖拽至stud_pe程序。
在这里插入图片描述
从图中可以看到,Number of section中的数据为0,这个字段是用来表示系统中存在多少个段,所以,这个程序加载的时候就根本找不到段,因为段数据已经被标志为0了。
有意思的是,点击上方图中Rva<=>Raw这个按钮,会出现下面这样的问题。
在这里插入图片描述
那么说明,关于RVA和RAW转化的时候程序出现了问题。段中的数据在地址转化的时候

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pe结构分析手工修复导入表
ChuMeng1999的博客
10-25 1413
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 本实验要求实验者具备如下的相关知识。 1.加密外壳中,破坏原程序的输入表是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入表概念非常清楚。常见输入表的结构是为了表示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT来表示。 INT:全称import name table输入名称表。简单来说,INT表存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。 IAT:全称i
Stud_PE
08-07
一个PE编辑器,可以对文件的PE结构进行查看与修改
第九课 在text段写入可执行代码
xuenixiang.com
07-26 743
写入可执行代码这部分我们借助OD来完成(这部分比较考验汇编语言) 首先认识一下MessageBoxA这个API: 更详细的解释自己可以在编译器里面去搜索 在反汇编代码中可以看到他的参数传递方式同声明时的正好相反   认识程序中参数的传递,将2.exe载入到OD中。 按照编译器的习惯我们将”Hello word”字符串的地址放入eax寄存器中。我们知道Hello Word这个字符...
【破解利器】PE工具篇(PE编辑,查看等操作)
一个人的软件艺术
11-10 3201
【破解利器】PE工具篇(PE编辑,查看等操作), 对这各位老手来说这些应该不陌生了 PE编辑工具 Stud_PE v. 2.4.0.1 PE工具,用来学习PE格式十分方便。 http://www.cgsoftlabs.ro/ 汉化版:http://bbs.pediy.com/showthread.php?s=&threadid=22840 LordPE DLX增强版(2008.5.31) 2008.5.31 资源名溢出漏洞。缓
易语言源码易语言pe结构分析源码.rar
03-30
本压缩包“易语言源码易语言pe结构分析源码.rar”提供的是用易语言编写的用于分析PE结构的源代码。 分析PE结构对于理解和调试Windows应用程序至关重要,它能帮助开发者了解程序的加载过程、内存布局以及函数调用等...
pe结构分析.rar
04-05
在"pe结构分析.rar"这个压缩包中,我们很可能找到了关于如何分析PE文件结构的易语言源码,这对于理解PE文件的工作原理以及逆向工程领域来说是非常宝贵的资源。 PE结构的核心组成部分包括: 1. **DOS头**:虽然PE...
易语言pe结构分析
07-22
易语言pe结构分析源码,pe结构分析,AnalysisPE,RVAToOffset,GetRVASection,GetText,OpenFile,加入文本,Close,判断处理器,判断文件系统,取标准八位十六进制文本,处理文本,后加空格,GetDword,GetWord,GetApiAddress,shl...
手工制作2004PE 之维护版.7z
04-15
手工制作2004PE 之维护版.7z
PE综合工具(Stud_PE)v2.6.1.0英文安装版
07-31
Stud_PE是一款功能强大的PE反编译工具,主要功能可帮助用户来进行PE文件的PE头信息的查看及导入表等信息的修改,需要的朋友赶快来下载吧
Stud_PE PE分析工具
01-30
PEview功能强大,可以分析upack壳的pe头。懂的人都明白不用多说
分析工具(StudPEPEview,apateDNS等)
08-09
一些自己收集的分析工具,有StudPE,ResourceHacker,PEview,depends,Wireshark,apateDNS,Regshot等。
Stud_PE2.6最新版
06-09
Stud_PE The Portable Executables Viewer/Editor (32/64 bit PE files) view/edit PE basic Header information (DOS also): -header structures to hexeditor; view/edit Section Table: - add new section; view/edit Directory Table: -Import/Export Table viewer; -Import adder; -Resource viewer/editor (save/replace ico/cur/bmp); Pe Scanner (PEiD sig database): -400 packers/protectors/compilers; Task viewer/dumper/killer; PEHeader/Binary file compare; RVA to RAW to RVA; Drag'nDrop shell menu integration; Basic HexEditor; Process regions' dumper/viewer/editor;
Stud_PE_v2.6.0.5绿色汉化版
08-19
Stud_PE_v2.6.0.5绿色汉化版,超强的PE工具,pe工具三剑客之一
PE格式解析-区段表及导入表结构详解
热门推荐
走在成长的路上
12-21 1万+
PE格式区段表与导入表的结构详解
逆向---注入方式给应用程序添加菜单
haodawei123的博客
03-07 1382
原理:通过修改注入表的方式将我们自己的dll中的菜单及响应添加到应用中去,实现我们想要的功能。 1、注入dll编写 这里是通过 Stud_PE工具将dll注入到目标程序中去的 1.1 dll中添加导出函数 Stud_PE添加到目标程序是需要添加导出函数,因此这里添加一个导出函数,没有实际功能。 jtfz.cpp void test() { AfxMessageBox(“加载成功!”); } 在de...
软件安全第二次实验
萍水间人的小天地
03-26 444
stud_PE软件 从这张图片中我们得到如下信息 入口点的RVA: 1000, 入口点的VA = imageBase + RVA imageBase = 400000 入口点的RAW 也就是文件偏移???(这个好像我解释不清楚) 文件中的对齐粒度: 200 内存中的对齐粒度 1000 映像大小? 区段数目, 也就是节的数目 导入表 也就是IDT的RVA = 2014...
PE格式系列_0x01:PE格式-Introduction
可乐松子的博客
05-22 344
0x01 PE格式-Introduction 可执行文件的格式是操作系统执行机制的一种反应,研究可执行文件的数据格式和运行机制,是研究逆向和脱壳的基础;windows中可执行文件的格式被称为PE格式 下面会将我学习PE格式的一些笔记进行整理(网上有很多类似的文章),汇总成几篇文章,方便自己以后查看;第一篇就先简单对PE有一个直观的印象吧 1.学习目的 为什么要学习PE文件格式?学习前要想一下学习的目的,不要盲目的瞎学习;因为PE文件格式细节很多,没有目的的学习过几个月基本就会忘记了 说一下我的目的,为了
Win32 PE文件结构分析与修改详解
总结来说,了解PE文件格式对于软件开发者、逆向工程师和安全分析师来说非常重要,它涉及到了操作系统底层的交互方式,文件结构的解析,以及潜在的安全威胁检测。通过深入研究和分析PE文件,可以确保程序的正确加载和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值