![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PE文件结构
文章平均质量分 82
PE文件的学习
Zsc_02
二进制方向在校大学生
展开
-
《逆向工程核心原理》20章内嵌补丁
《逆向工程核心原理》20章内嵌补丁内嵌补丁存在的原因由于一些程序(运行时解压缩、加密文件)需要打补丁时,难以修改指定的代码为了修改它们, 插入额外的“洞穴代码” (程序运行同时运行这个额外代码), 来达到打补丁的效果原理图:书中示例的patchme程序确定调试分析EP:10E9是输出对话框的函数,跟进看看同样跟进里面的call……9B函数发现三个用于解码循环语句是一个解密代码(A3~AD)对4010f5 ~ 4010f5+154(40f1248) 的区域进行 xor 4原创 2022-04-18 00:56:47 · 279 阅读 · 2 评论 -
pe文件节区的删除和增加
pe文件节区的删除和增加节区(.reloc)的删除(按照《逆核》书中的步骤来进行)整个过程需要四个步骤:1.删除节区头2.删除节区3.修改节区数(number of section)4.修改映像大小(size of image)删除节区头在hxd中找到rva从270到297区域,用0填充删除节区内容在hxd中找到poiner to raw data(磁盘中地址c000),删除其后面的所有内容修改节区数量找到文件头中的 number of section同样在hxd中修改其原创 2022-04-10 12:21:03 · 1419 阅读 · 0 评论 -
UPack 压缩PE头文件分析(特点总结)
文章目录UPack 头文件分析(特点总结)概述压缩方法PE文件头部分的特征表现特征具体改变重叠文件头具体修改文件头(IMAGE_FILE_HEADER)中可选头(IMAGE_OPTIONAL_HEADER)的长度(E0)原理(创造空间,插入代码)原因查看插入的代码修改可选头中的NumberOfRvaAndSizeNumberOfRvaAndSize具体修改IMAGE_SECTION_HEADER的空间利用重叠节区RVA to RAW的特征IMAGE_IMPORT_DESCRIPTOR array(导入表)的原创 2022-04-15 00:27:07 · 1091 阅读 · 0 评论