PE文件格式分析系列(文章3)----一个PE文件rdata段的分析(Win32工程Release版)(二)

最新推荐文章于 2022-10-08 00:49:06 发布
VIP文章 最新推荐文章于 2022-10-08 00:49:06 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: PE文件结构学习 文章标签: microsoft initialization c thread domain library
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bagboy_taobao_com/article/details/7686733
版权

PE文件格式分析系列(文章3)

一个PE文件rdata段的分析(Win32工程Release版)(二)

下面分析这个PE文件rdata段的常量数据(000050A4---0000543D)
000050A0 |                         00 00 00 00 |     .... |
000050A8 | FF FF FF FF 27 11 40 00 |     '.@. | 这像一个地址00401127
000050B0 | 3B 11 40 00 5F 5F 47 4C | ;.@.__GL | 0040113B 也是
000050B8 | 4F 42 41 4C 5F 48 45 41 | OBAL_HEA | 一段字符
......
000050E0 | 00 00 00 00 72 75 6E 74 | ....runt | 运行时错误?
000050E8 | 69 6D 65 20 65 72 72 6F | ime erro |
000050F0 | 72 20 00 00 0D 0A 00 00 | r ...... |
......
00005128 | 52 36 30 32 38 0D 0A 2D | R6028..- | 好像是错误码
00005130 | 20 75 6E 61 62 6C 65 20 |  unable  | 不能初始化heap?
00005138 | 74 6F 20 69 6E 69 74 69 | to initi |
00005140 | 61 6C 69 7A 65 20 68 65 | alize he |
00005148 | 61 70 0D 0A 00 00 00 00 | ap...... |
00005150 | 52 36 30 32 37 0D 0A 2D | R6027..- |
00005158 | 20 6E 6F 74 20 65 6E 6F |  not eno |
00005160 | 75 67 68 20 73 70 61 63 | ugh spac |
00005168 | 65 20 66 6F 72 20 6C 6F | e for lo |
00005170 | 77 69 6F 20 69 6E 69 74 | wio init |
00005178 | 69 61 6C 69 7A 61 74 69 | ializati |
00005180 | 6F 6E 0D 0A 00 00 00 00 | on...... |
00005188 | 52 36 30 32 36 0D 0A 2D | R6026..- |
00005190 | 20 6E 6F 74 20 65 6E 6F |  not eno |
00005198 | 75 67 68 20 73 70 61 63 | ugh spac |
000051A0 | 65 20 66 6F 72 20 73 74 | e for st |
000051A8 | 64 69 6F 20 69 6E 69 74 | dio init |
000051B0 | 69 61 6C 69 7A 61 74 69 | ializati |
000051B8 | 6F 6E 0D 0A 00 00 00 00 | on...... |
000051C0 | 52 36 30 32 35 0D 0A 2D | R6025..- |
000051C8 | 20 70 75 72 65 20 76 69 |  pure vi |
000051D0 | 72 74 75 61 6C 20 66 75 | rtual fu |
000051D8 | 6E 63 74 69 6F 6E 20 63 | nction c |
000051E0 | 61 6C 6C 0D 0A 00 00 00 | all..... |
000051E8 | 52 36 30 32 34 0D 0A 2D | R6024..- |
...
00005370 | 4D 69 63 72 6F 73 6F 66 | Microsof | 哈哈, 这个很熟悉哦
00005378 | 74 20 56 69 73 75 61 6C | t Visual |
00005380 | 20 43 2B 2B 20 52 75 6E |  C++ Run |
00005388 | 74 69 6D 65 20 4C 69 62 | time Lib |
00005390 | 72 61 72 79 00 00 00 00 | rary.... |
...
000053E0 | 65 50 6F 70 75 70 00 00 | ePopup.. |
000053E8 | 47 65 74 41 63 74 69 76 | GetActiv |
000053F0 | 65 57 69 6E 64 6F 77 00 | eWindow. |
000053F8 | 4D 65 73 73 61 67 65 42 | MessageB |
00005400 | 6F 78 41 00 75 73 65 72 | oxA.user | 怎么也有user32.dll?
00005408 | 33 32 2E 64 6C 6C 00 00 | 32.dll.. |
...
00005428 | 22 3F 40 00 26 3F 40 00 |
00005430 | FF FF FF FF A6 40 40 00 |
00005438 | AA 40 40 00             |

分析过程如下:
OD反汇编了一下代码段, 看到一些指令
00401055  |.  68 A8504000   PUSH OFFSET 004050A8  ; FF FF FF FF
00401B0B  |.  68 B4504000   PUSH OFFSET 004050B4  ; |Arg1 = ASCII "__GLOBAL_HEAP_SELECTED"
00401ACC  |.  68 CC504000   PUSH OFFSET 004050CC  ; |Name = "__MSVCRT_HEAP_SELECT"
00401F46  |.  68 70534000   PUSH OFFSET 00405370  ; ASCII "Microsoft Visual C++ Runtime Library"
00401F1E  |.  68 98534000   PUSH OFFSET 00405398     ; ASCII ""
00401F00  |.  68 9C534000   PUSH OFFSET 0040539C     ; ASCII "Runtime Error! Program: "
00401EEC  |.  68 B8534000   PUSH OFFSET 004053B8     ; ASCII "..."
00401EAA  |.  68 BC534000   PUSH OFFSET

最低0.47元/天 解锁文章
小大小丑
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
箱线图汇总-多组箱线图的Rdata文件
03-25
多组箱线图的Rdata文件
易语言多线程出错
ypw的博客
06-22 1488
DLL命令: .本 2 .DLL命令 SetProcessAffinityMask, 整数型, , , 公开, 设置CPU亲和性 进程句柄 返回CPU号 .参数 hProcess, 整数型 .参数 hProcess, 整数型 .DLL命令 SetThreadAffinityMask, 整数型, , , 公开, 设置CPU亲和性 线程句柄 .参数 hProcess, 整数型
Programming Topics
lsw0794的专栏
05-16 3134
@C Programming Topics :c declarations ^Complex C Declarations  int i;              i as an int  int *i;             i as a pointer to an int  int **i;            i is a pointer to a pointer t
vs2017异常 debug assertion failed! Program:program name unknown File:wingdi.cpp line 1113
无知的渣渣的博客
12-04 4503
今天在项目中设置字体的时候引发了异常: 具体是这样的: debug assertion failed!  Program:<program name unknown>  File:f:\dd\vctools\vc7libs\ship\atlmfc\src\mfc\ wingdi.cpp line 1113 然后找了下资料,说是在创建新的字体的时候没有将旧本的字体删除。。...
PE文件格式分析系列(文章2)----一个PE文件rdata分析(Win32工程Release)(一)
cay22的专栏
06-23 4454
PE文件格式分析系列(文章2) 一个PE文件rdata分析(Win32工程Release)(一) 在分析MFC工程调试PE文件时, 导入表在idata 而这个Win32工程ReleasePE文件, 导入表在rdata, 并且rdata不仅包含导入表信息, 还包含了一些常量, 例如一些字符串信息等. 下面先分析idata. IMAGE_DIRECTORY_ENT
RData.jl:从Julia中读取R数据文件
02-04
RData.jl:从Julia中读取R数据文件
BlueprintEncode-bpe.se-human.RData 单细胞singleR注释参考文件
最新发布
11-20
单细胞singleR注释参考文件,可在本地使用
素数matlab代码-edatparser:将edat/edat2txt恢复文件解析为Rdata.frames
06-02
这是一个读入数据文件的包(嗯,是E-Prime脚本在实验过程中生成的txt恢复文件)。 它适用于需要分析大批量 edats、无法访问 PST 的数据实用程序 E-DataAid 或没有 Windows 的用户。 据我所知,PST 没有公开进制 ....
pe文件格式详解
06-19
详细解析PE的格式信息,来源于官方网站,绝对专业靠谱,不过是English。
研究一下 crt0msg.c 里面的代码
wxl1986622的专栏
05-14 771
crt0msg.c
crt0.c代码内容解释和编译器构造
02-17 1509
下面用红色字体,做部分解释:   1/**//***   2*crt0.c - C runtime initialization routine   3*   4*       Copyright (c) 1989-1997, Microsoft Corporation. All rights reserved.   5*   6*Purpose:   7*       Th
PE文件解析--导入函数节.rdata
凌阳的博客
06-08 2350
讲导入函数节,就必须介绍一下Datadirectory:Datadirectory放在可选文件头optional_header里面,有16个项,每项8字节,里面存放的是每个导入函数节,导出函数节等节的信息。可选文件头optional_header: 例如:14 20 00 00 3c 00 00 00前4位:代表该节的RVA,14 20 00 00RVA=0002014后4位:代表该节的大小,0x0000003c=60下面按rdata中存放的顺序介绍,注意此表中的地址是文件地址:其RVA(内存)=0x000
PE文件格式讲解
qq_43082315的博客
10-08 270
PE文件格式--各个节存储的数据类型
PE文件格式详细解析()
weixin_47754894的博客
11-02 1542
3.PE文件的结构 3.2 NT头 由一个IMAGE_NT_HEADERS结构组成,该结构中包含了PE文件被载入内存时需要用到的重要域。通过DOS header中的e_lfanew,可以直接定位到真正的PE Header部分。该结构体的大小为0xf8字节。 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //PE签名 IMAGE_FILE_HEADER FileHeader; //PE头 IMAGE_OPTIONA
怎么用Verilog语言给压缩单元配置一个axi4-lite-slave接口
05-27
首先,需要在Verilog文件中定义一个axi4-lite-slave接口的模块,例如: ``` module axi4_lite_slave ( input aclk, input aresetn, input [3:0] araddr, input [1:0] arprot, output [1:0] arready, output ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值