逆向 杂知识点

最新推荐文章于 2021-09-01 17:56:29 发布
最新推荐文章于 2021-09-01 17:56:29 发布
阅读量5.8k 收藏
点赞数
分类专栏: 奥利给 文章标签: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45992231/article/details/119918531
版权

对于一个可执行文件的来说
1.DOS头
对于DOS头关注两个偏移量00h,和3ch
前者的内容是一个WORD型数据标记了DOS头,为4D 5A h
后者的内容是一个DWORD型数据是PE头的地址,即可通过DOS头的003ch中的内容知道PE头的地址
2.PE头
在PE头中讨论偏移量时都是相对于PE头的首地址的偏移量
偏移量00h的单元内容是一个DWORD型数据,在有效的PE文件里为00 00 45 50h 在小段储存的模式下即为PE00
偏移量04h到18h的单元内容为结构体IMAGE_FILE_HEADER的内容
偏移量04h的单元内容是一个WORD型数据,表明文件运行的平台
偏移量06h的单元内容是一个WORD型数据,表明文件的区块数目
偏移量08h的单元内容是一个DWORD型数据,表明文件创建日期和时间
偏移量14h的单元内容是一个WORD型数据,表明下一个结构IMAGE_OPTIONAL_HEADER32的大小
偏移量16h的单元内容是一个WORD型数据,表明文件的属性
偏移量18h开始是结构IMAGE_OPTIONAL_HEADER32的内容
偏移量18h到30h是标准域
偏移量28h的单元内容是一个DWORD型数据,表明程序执行入口RVA(偏移虚拟地址)
偏移量34h之后是NT结构扩展领域
偏移量34h的单元内容是一个DWORD型数据,表明程序的首选装载地址ImgBase (和文件头有什么区别)

通过ImgBase+RVA可得到程序的入口地址,用OD打开后若第一次的断点设置在WinMain处则,将要执行的第一条代码的地址就是ImgBase+RVA的值
但是对某些程序好像不是这样,对于飞Young宽带AdialClient.exe这个程序
显示RVA为00CC745D,但是用OD打开后却显示00F41187,但是飞Yong宽带还有一个EXE程序AidcRes.exe,这个程序与上个程序相比,左下角有了一个管理原身份的标志,对于这个程序ImgBase+RVA和OD显示的是一致的,不知道为什么,或许是那个管理员的问题?
偏移量38h的单元内容是一个DWORD型数据,表明内存中区块的对齐大小
偏移量3ch的单元内容是一个DWORD型数据,表明文件中区块的对齐大小
偏移量5ch的单元内容是一个WORD型数据,表明可执行文件期望的子系统
偏移量78h的单元内容是一个数组,存放16个IMAGE_DATA_DIRECTORY结构体
一个索引对应一个区块,该索引的结构体中存放区块的起始RVA和长度。每个结构体的长度是8个字节
紧接着PE头的是区块表,也可通过PE结构中的SizeofOptionalHeader字段获得大小加上地址来得到区块表的地址
开始的地址距离PE头的偏移量为F8h,表是由若干个
_IMAGE_SECTION_HEADER 结构所组成的,每个结构40(十进制)个字节,
虽然说是节表中结构的个数等于有效节的个数加1,但是当用UE打开AidsRes.exe文件时,发现NumberOfSection字段值是9,对应了正好的9个块,不知道为什么
数据目录表和区块表的区别

区块表及区块表中的RVA和PointerToRawOffset

如何按照数据目录表定位区块
第一块的起始地址并不是0x00001000
因为UE打开的是磁盘中的文件,所以采用的对齐方式是磁盘中的对齐方式AidsRes.exe第一块的起始地址为0x00000400?

根据内存中的虚拟偏移地址如何知道文件中的偏移地址呢?
首先区块表上记录了各个区块的RVA和
SizeofRawData(为什么是SizeofRawData磁盘中的大小)
总之就是根据这两者确定数据在哪个节中,然后数据的RVA-节的RVA得到这个数据相对于该节首地址的偏移,然后通过区块表中的PointerToRawOffset得到区块在文件中的首地址的偏移,加上数据相对于该节首地址的偏移就是数据的文件偏移

https://www.52pojie.cn/forum.php?mod=viewthread&tid=1407996&page=1&extra=#37810231_misc%E5%92%8Csizeofrawdata
VirtualSize为内存中没有对齐前的大小,也就是块的最后一个有意义的数据到块的第一个数据之间的大小
SizeofRawdata是文件中对齐后的大小,在内存态无效
在内存中(运行态时),实际上 该节在内存中的末尾位置应该为:VA+内存对齐后的大小

但是在节的属性中并没有表示内存对齐后大小的成员,内存对齐后的大小是如何得来的?

内存对齐后的大小
决定内存对齐后的大小的因素有2个:

内存对齐:即SectionAlignment
Max{Misc,SizeOfRawData}:Misc和SizeOfRawData的最大值
内存对齐后的大小 = (Max{Misc,SizeOfRawData} ÷ SectionAlignment) 向上取整 × SectionAlignment

取SizeOfRawData很容易理解,但为什么还和Misc有关?

Misc表示的是实际大小难道不是一定小于文件对齐后的大小吗?

并不是,实际大小也可能要比文件对其后的大小要大,就拿全局变量为例

全局变量可以分为两种:有初始值的和没有初始值的

有初始值的全局变量在文件中就已经为其分配了空间,而没有初始值的全局变量只有到程序加载到内存中(运行态)后才会为其分配空间

假设当前存储的全局变量都是没有有初始值的,即在文件中没有为其分配空间,也就是在文件中大小为0,这也就导致SizeOfRawData为0,因此,此时的Misc > SizeOfRawData

所以内存对齐后的大小要综合Misc和SizeOfRawData决定

重定位表的大小好像和VirtualSize不一样

qq_45992231
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE实战教程之扩大节
weixin_43742894的博客
04-01 620
本篇文章复习扩大节,顾名思义就是将节表的大小扩大,那就要搞清楚俩个问题: 1.为什么扩大节? 2.如何扩大节? PE实战教程之扩大节为什么扩大节如何扩大节?扩大哪一个节?扩大节的步骤实战环节: 为什么扩大节 上篇文章进行了空白区添加我们的代码,但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大节。 如何扩大节? 我们先看节表的结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个
PE文件之PE映像尺寸详解
e1135281874的专栏
12-25 2762
pe映像就是pe文件加载到内存中的总尺寸,大部分情况下(也可以认为始终就是这样,因为没有资料说必须是这样,但经过试验发现总是为一固定值。为了此文的严谨性,此处用了“大部分情况下”)这个尺寸是以4096字节对其的,这取决于windows的内存机制,内存页的大小总是4096字节。这种情况在磁盘文件中也有所表现,我们可以在磁盘中新建一个txt文件,在里面写入一个字符“a” 并保存。这时我们查看一下此文件
EverEdit逆向 PE结构
qq_45992231的博客
09-01 139
text块 virtual size 001990A9 virtual address 00001000 size of raw date 00199200 pointer to raw date 00000400 开始761000 结束8FA0A9 400+1990A9=1994A9 virtual size就是text块实际数据的大小符合 rdata块 virtual size 00037682 virtual address 0019B000 size of raw data 00037800 poi
PE文件实战之手动合并节
weixin_43742894的博客
04-01 403
一丶简介 根据上一讲.我们为PE新增了一个节. 并且属性了各个成员中的相互配合. 例如文件头记录节个数.我们新增节就要修改这个个数. 那么现在我们要合并一个节.以上一讲我们例子讲解. 以前我们讲过PE扩大一个节怎么做. 合并节跟扩大节类似. 只不过一个是扩大. 一个是合并了. 合并节的步骤: 1.修改文件头节表个数 2.修改节表中的属性 节.sIzeofRawData 节数据对齐后的大小. 3.修改扩展头中PE镜像大小 SizeofImage 4.被合并的节以0填充. 二丶实战合并一个节 1.修改文件头中节
关于偏移量的理解
u011641620的专栏
11-13 2万+
偏移量是个很神奇的东西,好多学科,好多方面都包含有他的知识。今天主要是想和大家分享一下自己关于偏移量的理解,以新手向为主的理解,那么当然是言简意赅,然后作为抛砖引玉之用吧,希望能有各路大神来补充说明。 产生灵感的来源主要来自于哪里呢?今天接触了一些关于双向循环链表的东西,用老师的话讲叫做“火车皮拉货”,在lxr上面的定义有些绕口,但是画图以后就能清楚的看到,以前接触的链表,形象比喻叫做“
高中生物选修三知识点归纳.doc
10-04
【高中生物选修三知识点归纳】 基因工程是现代生物技术的核心,它涉及到生命科学的多个领域,如分子生物学、遗传学等。基因工程的概念是指利用现代生物技术手段,按照人们的意愿设计并实施,通过体外DNA重组和转...
二年级奥数.题.操作与应用.%20学生版%20.docx
09-10
以下是对这些题目涉及的知识点的详细解释: 1. **路径问题**(例1):这是关于最短路径的问题,虽然没有给出具体图形,但可以通过理解和分析父亲和女儿的行走策略来思考谁会先到达学校。父亲尽可能少拐弯,女儿则尽...
2019_2020学年高中生物同步作业3两对相对性状的交实验过程和解释含解析新人教版必修2
09-10
以下是相关知识点的详细说明: 1. **遗传因子的分离和自由组合定律**: - 孟德尔通过豌豆交实验发现了遗传的基本法则,即遗传因子的分离定律和自由组合定律。在这个实验中,纯种黄色圆粒豌豆(YYRR)和纯种绿色皱...
2021年教师招聘考试题库《教育理论综合知识》必考点带答案解析_281.docx
10-23
以下是根据题目内容解析的一些重要知识点: 1. **情感分类**:在第一道题目中,"先天下之忧而忧,后天下之乐而乐"表达了道德感,这是对道德规范和价值观的情感反应。 2. **未成年人义务教育**:对于未完成义务教育...
江苏专用2020高考生物二轮复习第一部分22个常考点专攻专题三遗传主攻点之三第一课时练习
09-08
知识点详解】 1. **基因遗传规律**:题目中涉及到棉花纤维长度的遗传,这是孟德尔遗传定律的应用。控制棉花纤维长度的三对等位基因遵循自由组合定律,因为它们位于不同的同源染色体上。基因型为aabbcc的棉花纤维...
PE文件格式 - 节的原始数据 1(Sections' raw data)
zhaogn 的技术博客
07-09 2750
http://hi.baidu.com/softopen/blog/item/7ef2c2cc60b6fa570fb3452a.html 八、节的原始数据(Sections' raw data) -------------------------------------- 1.概述(general) ------- 所有的节在载入内存后都按“SectionAlignmen
PE结构解析
热门推荐
Hello_MyDream的博客
06-16 2万+
一. DOS头原来为DOS系统使用,现在只需要记住如下两项。 1、DOC头: WORD e_magic * "MZ标记" 用于判断是否为可执行文件. DWORD e_lfanew; * PE头相对于文件的偏移,用于定位PE文件 如上图所示,DOS头一共40H个字节,即64个字节。 结尾处4个字节指向了标准PE头的位置:D8。在这中间的文字是编译器加入的一些描述信息。这些字.
RVA和RAW(文件偏移)的转换
跃然实验室
06-11 3278
节表和节——RVA和文件偏移的转换 RVA和文件偏移的转换的转换算法 (1)循环扫描节表并得到每个节在内存中的起始RVA(根据VirtualAddress字段),并根据节的大小(SizeOfRawData字段)算出节的结束RVA,最后比较判断目标RVA是否落在某个节之内。 (2)如果目标RVA处于某个节之内,那么用目标RVA减去节的起始RVA,这样就得到了目标RVA相对于节起始...
ISP模块之RAW DATA去噪(一)
松间明月
08-19 1万+
ISP(Image Signal Processor),图像信号处理器,主要用来对前端图像传感器输出信号处理的单元,主要用于手机,监控摄像头等设备上。     RAW DATA,可以理解为:RAW图像就是CMOS或者CCD图像感应器将捕捉到的光源信号转化为数字信号的原始数据,是无损的,包含了物体原始的颜色信息等。RAW数据格式一般采用的是Bayer排列方式,通过滤波光片,产生彩色滤波阵列(CFA
PE结构-扩大节区(附实例代码)
Alone的博客
10-24 401
1、拉伸到内存 2、分配一块新的空间:SizeOfImage + Ex 3、将最后一个节的SizeOfRawData和VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex 4、修改SizeOfImage大小 SizeOfImage = SizeOfImage + Ex 5.添加节表属性 ...
PE手工分析-导入表和导入函数地址表分析
happylife1527的专栏
10-15 781
http://www.cnblogs.com/SkyMouse/archive/2012/05/10/2493775.html 在上篇:PE手工分析-PE头 中我们了解了PE文件头内容,在此基础上我们来分析一下导入表和导入函数地址表的内容. 还是使用上篇使用的PE文件来分析,上一篇中我们基本上已经定位出PE头的位置以及相应内容. 在PE扩展头中包含 IMAGE_DATA_DIRECTORY
PE学习笔记二:节的操作
qq_28526211的博客
03-28 199
节表: 节表确定了节数据的属性,数量,大小等等; BYTE name,节的自定义名字,常见.text等等,但这并不是固定的,多数加壳程序可以修改节的名字; uniom{DWORD VirtualSize} Misc 在内存中实际的大小 DWORD VirtualAddress 在内存中的偏移,他加上扩展PE头中的ImageBase就是在内存中真正的地址;(换句话说,他是在内存中的) DW...
js逆向需要学习哪些知识
最新发布
06-01
JS逆向需要掌握以下知识: 1. JavaScript语言:需要熟练掌握JavaScript的基本语法、数据类型、运算符、控制流程、函数、对象等知识。 2. 浏览器开发工具:包括各种浏览器的开发者工具,如Chrome DevTools、Firefox DevTools等,用来查看和调试JavaScript代码、查看和修改DOM结构、HTTP请求等。 3. HTTP协议:需要了解HTTP请求和响应的基本结构、常见的请求方法、状态码、头部信息等。 4. 加密和解密算法:需要了解常用的加密和解密算法,如Base64、MD5、SHA-1、AES等,以及它们的原理和应用。 5. 逆向工具:需要掌握一些逆向工具的使用,如Fiddler、Burp Suite等,用来捕获和分析HTTP请求、修改请求参数等。 6. 安全知识:需要了解一些常见的安全漏洞和攻击技术,如XSS、CSRF、SQL注入等,以便在逆向过程中发现和修复这些漏洞。 需要注意的是,JS逆向是一种敏感操作,需要遵守相关法律法规和道德准则,不要进行非法或不当的逆向操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值