【逆向】PE结构分析和关于PE的一些问题及解决

最新推荐文章于 2023-05-11 19:37:04 发布
VIP文章 最新推荐文章于 2023-05-11 19:37:04 发布
阅读量1.2k 收藏 11
点赞数 5
分类专栏: 软件安全与逆向分析 文章标签: PE 逆向 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43633973/article/details/102469484
版权

目录

前言:

开始需要大概了解一些名词:

程序的装入(地址的变换)

分页机制:

大概带着这些知识后,再来看PE的结构:

一些结构的定义

关于地址计算的一些问题

经典例题:

例题分析

☆如何在PE中查找并计算这些地址?

计算:解决地址转换问题(使用PEView)

①计算每个节区在内存中的位置、大小:

②每个节区在文件中的偏移

 ③每个节区在内存中的大小?每个节区在文件中的大小?

顺便一提,在这里要注意的一些点:

导入表

导入表在哪?定位导入表在源文件中的位置。

什么是INT、IAT、IDT?

IAT(Import Address Table)、INT(Import Name Table)、IDT(Import Directory Table)

从Import_Descriptor得到IAT的步骤:

导出表

对一个动态链接库里导出的函数的调用,既可以通过函数名称来进行,也可以通过函数在导出表的索引来进行。

重定位表

前言:

可以从这里入门https://www.cnblogs.com/milantgh/p/3953713.html

配合这个博客查找上面不懂的https://www.cnblogs.com/bokernb/articles/6116512.html 

开始需要大概了解一些名词:

关于地址和一些名词的理解,这个博客非常细致:https://blog.csdn.net/hguisu/article/details/5713099

需要知道的一些地址(后面会再来分析):

  • VA:virtrual address  虚拟地址,也就是内存中的地址:
  • RVA:relative virtrual address   相对虚拟地址,等于VA-ImageBase
  • ImageBase:基地址

虚拟内存不考虑物理内存的大小和信息存放的实际位置,只规定进程中相互关联信息的相对位置。每个进程都拥有自己的虚拟内存,且虚拟内存的大小由处理机的地址结构和寻址方式决定。

关于程序如何运行

  •          首先是要编译,由编译程序(Compiler)将用户源代码编译成cpu可执行的目标代码,产生了若干个目标模块(Object  Module)(即若干程序段),
  •         其次是链接,由链接程序(Linker)将编译后形成的一组目标模块(程序段),以及它们所需要的库函数链接在一起,形成一个完整的装入模块(Load  Module);
  •          最后是装入,由装入程序(Loader)将装入模块装入内存

程序的装入(地址的变换)

绝对装入方式:程序中的逻辑地址与实际内存地址完全相同

静态地址重定位(可重定位装入方式) :多道程序环境下,编译程序不可能预知所编译的目标模块应放在内存的何处,所得到的目标模块的起始地址通常是从 0 开始的,程序中的其它地址也都是相对于起始地址计算的,根据内存的当前情况,将装入模块装入到内存的适当位置。                              静态地址重定位即在程序开始运行前,程序中指令和数据的各个地址均已完成重定位,即完成虚拟地址到内存地址映射。地址变换通常是在装入时一次完成的,以后不再改变。                    采用可重定位装入程序将装入模块装入内存后, 会使装入模块中的所有逻辑地址与实际装入内存的物理地址不同

可以看个例题:

最低0.47元/天 解锁文章
江湖one Cat
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[网络安全自学篇] 六十二.PE文件逆向PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
WinDump PE文件读取打开分析程源码(Delphi).rar
07-10
Delphi代码开发的WinDump PE文件读取打开分析程源码,只是实现了对WinDump的查看读取,可以分析到资源以前的所有结构,具有中、英文语言切换功能,打印和文件导出功能没有做。
PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
永不放弃_浪子文---------------黑客文化
02-12 563
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构
PE文件格式
weixin_49777720的博客
03-16 415
文章目录PE的基本概念MS-DOS头部PE文件头区块输入表输出表基地址重定位资源 PE的基本概念 PE文件将可执行程序分为不同的块,区块中包含代码和数据,各个区块按页边界对齐。区块没有大小限制,是一个连续的结构。每个块都有他自己在内存中的一套属性,例如这个块是否包含代码,是否只读或可读/写等。 基地址(ImageBase) PE文件通过Windows加载器加载入内存。 模块(Module):内存中的版本。 模块句柄(hModule):映射文件的起始地址(这个地址也可以称为是基地址ImageBase),可以
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1736
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
逆向PE文件解析
一个努力生活的人的博客
05-11 1329
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
逆向——PE导出表分析及应用
young的博客
03-22 1260
逆向——PE导出表分析及应用 文章目录逆向——PE导出表分析及应用前言一、利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。二、pedtior打开本机的kernel32.DLL三、实现两种方式的导出函数覆盖-1四、实现两种方式的导出函数覆盖-2总结 前言 本次实验的目的主要是分析PE文件的导出表结构分析导出函数VA的获取过程,得出导出表结构;研究导出表的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。 本次用到的实验工具有:OllyDBG、Ped
018_《Delphi下深入Windows核心编程》
敦格
11-22 3267
本书是一本介绍Windows核心技术及高级技巧的专著。从系统内核编程出发,使用大量的例子帮助读者理解这些编程技术,讲述了线程同步及隐藏、系统钩子深入分析、读写物理磁盘的关键技术、读写物理内存和其他进程内存的核心技术、Windows 9x下调用16位实模式和保护模式代码的核心技术、直接读写端口技术、可执行文件加壳的技巧、PE结构分析、Ring0的实现、Windows API截取技术、屏幕取词技术等方面的内容。全书对热点源代码进行了深入剖析和讲解,同时本书汇聚了作者利用Soft-ICE跟踪调试经验,作者多年的编
PE文件结构分析
11-27
PE文件结构分析,图文并茂,很详细的教程,希望对大家有帮助。
PE结构细致分析
10-11
自己根据一些博客,摘录重要的内容做出来的。之前上传过一次,里面有些东西没有弄清楚,这次修改了下,加了一些内容。...可以在分析PE的时候当做查阅的资料,如果忘记了就在导图中查看是什么意思,比较方便和快捷。
VC 解析PE导出表 导入表
01-16
VC做的一个SDI程序,模仿DEPENDS的部分功能,查看导出表,导入表
PE.Explorer_setup.zip
03-15
这是国外的一款PE文件内容资源管理器,但是付费,只有30天试用期,对于逆向工程的同学来说,有点用处。
PE分析工具-支持分析32位PE文件
11-06
PE分析工具(支持32位) 树状结构查看,PE结构清晰,支持查看区段二进制数据
PE文件格式分析来的人应该知道要什么
03-23
我将给出Microsoft为他们的基于Win32的系统所设计的PE文件格式的详细说明。可以预知在未来,PE文件格式在Microsoft的所有操作系统包括Windows 2000中都将扮演着很重要的角色。如果你在使用Win32s或WinNT,那么你已经...
逆向】UPX工具使用及加壳
热门推荐
lanlanla的成长历程
01-08 1万+
加壳常用的工具: https://www.52pojie.cn/thread-165931-1-1.html 下载UPX加壳脱壳工具: http://upx.sourceforge.net/ UPX使用教程: http://blog.sina.com.cn/s/blog_6b3d887701011n8s.html 尝试如下: 打开cmd命令行进入到upx.exe所在的位置,输...
逆向】【PE入门】使用PEView分析PE文件
lanlanla的成长历程
01-08 1万+
目录 什么是PE? 什么是PEView? 分析PE文件 什么是DOS头? IMAGE_DOS_HEADER是干嘛的? DOS块是干嘛的? 什么是NT头? Signatrue? IMAGE_FILE_HEADERIMAGE_OPTIONAL_HEADER? section头? 1.找到 NT 头的起始偏移地址、结束地址? 什么是PE? 参考博客:htt...
逆向】栈溢出漏洞学习过程(一)通过字符串验证的简单程序分析
lanlanla的成长历程
01-08 2781
目录 前言: 1 准备程序 PS:翻车现场: 2 分析程序执行流程(栈溢出原理) 2.1 看代码中忘记的知识补充一下: 2.1.1 主函数中涉及的寄存器相关知识: 2.1.2 涉及到的指令 地址传送指令LEA PTR REP STOS int 3中断 段超越指令前缀 2.2 main函数中的初始化部分 2.3 scanf()函数部分 2.4 函数verify_pas...
逆向】【Part 1】Windows基础知识
lanlanla的成长历程
01-08 1913
目录 1.Win32的软硬件平台 1.80X86系列处理器 2.80X86处理器的工作模式 2.Windows内存管理 1)实模式下的寻址方式 2)保护模式下的内存寻址 3)内存分页机制 4)Windows的内存安排 3.Windows的特权保护 1.80386的中断和异常 (1)80386实模式下的中断和异常处理 (2)80386保护模式下的中断和异常处理 2.8038...
逆向】【UPX】【ODdump】硬件断点后内存转储程序无法运行成功解决及脱壳步骤
lanlanla的成长历程
01-08 1524
目录 问题如下: 解决: 总结: 问题如下: 脱壳的时候我下了硬件断点:在PUSHAD的下一步查看ESP,OD的左下角goto到esp指向的地址,然后右键下硬件断点。 这样再运行很容易就直接定位到了POPAD,看起来都挺顺利的,很容易找到了OEP的位置。但是内存转储出来的exe打开无效果不运行,在110版本的OD中提示:“hasentrypointoutsidethecode...
实验7 pe导出表分析及应用
最新发布
06-08
Pe导出表是PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出表分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们可以通过使用工具如PEview、PE Explorer等对PE文件的导出表进行分析,了解其中包含的函数和变量信息。同时,我们还可以使用工具如DLL Export Viewer、Dependency Walker等来查看DLL文件的导出表信息。 在实际应用中,Pe导出表分析可以用于以下方面: - 程序调试和逆向工程:通过分析导出表中的函数和变量,可以帮助我们了解程序的逻辑和调用关系,从而进行调试和逆向分析。 - 恶意程序检测:恶意程序通常会使用一些特定的函数和变量来实现其攻击功能,通过分析导出表中的函数和变量,可以帮助我们快速识别和查找这些恶意代码。 - 应用程序开发:在开发应用程序时,我们可以利用导出表中的函数和变量实现各种功能,如调用系统API、实现插件机制等。 总之,Pe导出表分析是一个非常有用的技能,可以帮助我们更好地理解和应用PE文件和DLL文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值