逆向一段程序
一、从整体上了解一个EXE程序
从整体上认识这一堆二进制数据。(相当于你到北京来需要买一个地图。)
任何一个在win上运行的可执行文件都需要遵守一定的格式,这个结构就是PE(exe。Dll。sys)。
为什么要了解PE结构。如果分析一个程序,那么有几个步骤:
- 第一:程序是从哪里开始执行的。
- 第二:代码藏在哪里。代码基址()。
第三:数据藏在哪里。数据的基址()。
- 不管数据还是代码,最终存储到内存都是0和1,了解pe文件结构,才知道这一块存的是什么。
- Byte:1个字节; word:2字节; dword:4个字节。
- 只有win操作系统是低位在前。
- 我最近也发现一个问题,代码段的才需要看。找一个helloword,从最开的断点 单步记录下来,带调试符号,分析一遍。 以后见到了就不怕了。
为什么都是从ntdll 中的一个call开始的(有5个参数)。Call edx。
PE文件结构是逆向、外挂、入侵、病毒必须掌握的。
向pe中注入病毒。(使用二进制工具对比查看)