EverEdit逆向 PE结构

最新推荐文章于 2022-05-02 13:49:32 发布
最新推荐文章于 2022-05-02 13:49:32 发布
阅读量137 收藏
点赞数
分类专栏: 奥利给 文章标签: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45992231/article/details/120045653
版权

text块
virtual size 001990A9
virtual address 00001000
size of raw date 00199200
pointer to raw date 00000400
开始761000
结束8FA0A9
400+1990A9=1994A9 virtual size就是text块实际数据的大小符合
rdata块
virtual size 00037682
virtual address 0019B000
size of raw data 00037800
pointer to raw data00199600
开始8FB000
结束932682(最末位数据是2个00 00)
199600+37682=1d0c82 virtual size就是rdata块实际数据的大小
data块
virtual size 0004AC68
virtual address 001D3000
size of raw data 0000EC00
pointer to raw data001D0E00
1D0E00+EC00=1DFA00
开始933000
结束97dc68(最后4个数据 2E 23 68 01)
virtual size>size of raw data 因为data段中包含了未初始化的全局变量
rsrc块
virtual size 00062008
virtual address 0021E000
size of raw data 00062200
pointer of raw data 001DFA00
1DFA00+62008=241C00
开始97E000
结束9E0008(最后8个数据 B3 04 B4 04 00 00 B5 04 后面是50 41 44 44 49 4E 47 58 58 50 41 44 44 49 4E 47)
virtual size就是rsrc块实际数据的大小
reloc块
virtual size 0001643A
virtual address 00281000
size of raw data 00016600
pointer to raw data 00241c00
开始9E1000
结束9F743A(最后是8D2个00)
数据最后确实是8D2个00,满足说明virtual size就是reloc的实际数据的大小

size of image 00298000

以上结果说明在大多数情况下virtual size就是块中实际数据的大小,但是也有未初始化的全局变量导致Virtual size>Size of raw data
size of image 是加载到内存中的PE文件的大小
磁盘中PE文件的大小可通过最后一个块的pointer to raw data 和size of raw data来得知

qq_45992231
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
everedit 3.7 可用sftp 插件
06-01
everedit 3.7 可用sftp 插件, 解压到plugin 目录即可
逆向 杂知识点
qq_45992231的博客
08-26 5795
对于一个可执行文件的来说 1.DOS头 对于DOS头关注两个偏移量00h,和3ch 前者的内容是一个WORD型数据标记了DOS头,为4D 5A h 后者的内容是一个DWORD型数据是PE头的地址,即可通过DOS头的003ch中的内容知道PE头的地址 2.PE头 在PE头中讨论偏移量时都是相对于PE头的首地址的偏移量 偏移量00h的单元内容是一个DWORD型数据,在有效的PE文件里为00 00 45 50h 在小段储存的模式下即为PE00 偏移量04h到18h的单元内容为结构体IMAGE_FILE_HEADE
PE文件实战之手动合并节
weixin_43742894的博客
04-01 397
一丶简介 根据上一讲.我们为PE新增了一个节. 并且属性了各个成员中的相互配合. 例如文件头记录节个数.我们新增节就要修改这个个数. 那么现在我们要合并一个节.以上一讲我们例子讲解. 以前我们讲过PE扩大一个节怎么做. 合并节跟扩大节类似. 只不过一个是扩大. 一个是合并了. 合并节的步骤: 1.修改文件头节表个数 2.修改节表中的属性 节.sIzeofRawData 节数据对齐后的大小. 3.修改扩展头中PE镜像大小 SizeofImage 4.被合并的节以0填充. 二丶实战合并一个节 1.修改文件头中节
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1086
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
PE文件合并节的代码实现
qq_31125257的博客
12-11 311
当DOS stub的空间也不够80个字节的时候,需要把原有的几个节表合并成一个节表,这样就可以腾出两个节表的空间,进而可以增加新的节。 疑惑:原有文件的几个节之间的联系会受合并节带来的影响吗?当代码节调用数据节的时候,如何指定位置?合并节后,唯一节表的属性是原有节的属性或运算出来的结果,会带来安全问题吗?为什么合并节要先拉伸出来才能合并,因为拉伸后才是文件在内存中的状态?但拉伸这个动作本来就是按照fileBuffer中的pe头部属性virtualsize和sizeofrawdata,virtualaddre
everedit.zip
01-25
everedit
everedit安装包
01-03
EverEdit是专门为国人设计的一流文本编辑器,它身躯小巧,性能卓越,可自定义功能完善,支持丰富的主题和脚本,同时它还完美支持各种中文编码、大字符集字符的显示,万码无忧!无论您是文字工作者还是程序员,...
EverEdit编辑工具
01-08
EverEdit编辑工具,EverEdit,专为国人设计的文本编辑器 身躯小巧,性能卓越,自定义功能完善,丰富的主题和脚本,完美的编码、大字符集字符显示,无论您是哪个级别的码农,EverEdit都会给您带来不一样的体验!
everedit 3.7 注册码
01-04
EverEdit,专为国人设计的文本编辑器 身躯小巧,性能卓越,自定义功能完善,丰富的主题和脚本,完美的编码、大字符集字符显示. EverEdit是非常游戏的文本编辑器, 很小巧,可惜是收费软件,在此收藏这个“注册码”,希望有...
PE实战教程之扩大节
weixin_43742894的博客
04-01 585
本篇文章复习扩大节,顾名思义就是将节表的大小扩大,那就要搞清楚俩个问题: 1.为什么扩大节? 2.如何扩大节? PE实战教程之扩大节为什么扩大节如何扩大节?扩大哪一个节?扩大节的步骤实战环节: 为什么扩大节 上篇文章进行了空白区添加我们的代码,但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大节。 如何扩大节? 我们先看节表的结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个
PE结构解析
热门推荐
Hello_MyDream的博客
06-16 2万+
一. DOS头原来为DOS系统使用,现在只需要记住如下两项。 1、DOC头: WORD e_magic * "MZ标记" 用于判断是否为可执行文件. DWORD e_lfanew; * PE头相对于文件的偏移,用于定位PE文件 如上图所示,DOS头一共40H个字节,即64个字节。 结尾处4个字节指向了标准PE头的位置:D8。在这中间的文字是编译器加入的一些描述信息。这些字.
给软件添加代码
Hello_MyDream的博客
06-11 2万+
一. 代码节空白区域添加代码 1. 根据SizeOfRawData - VirtualAddress的值来判断剩余空间是否足以添加代码 2. 根据SizeOfRawData + PointerToRawData来到空余部分 3. 将汇编指令转为硬编码:此处添加的代码是MessageBox,可以通过OD(走下角命令 bp MessageBoxA)来查看MessageBox的地址。 6a 00 6a 00 6a 00 6a 00 e8 00 00 00 00 e9 00 00 00 00 push 6
PE文件格式 - 节的原始数据 1(Sections' raw data)
zhaogn 的技术博客
07-09 2743
http://hi.baidu.com/softopen/blog/item/7ef2c2cc60b6fa570fb3452a.html 八、节的原始数据(Sections' raw data) -------------------------------------- 1.概述(general) ------- 所有的节在载入内存后都按“SectionAlignmen
流水账笔记:PE文件格式(手工增加节)
MyBlog
10-16 452
为方便理解,仅以“Hello, PE!”的小程序为例,使用工具 010 Editor: 当前程序目前有 2 个节区,且节头部分有足够的空间来增加另一个节头。#1将文件头的 NumberOfSection (节区数量) 改为 3#2在最后一个节区头后面增加一个节区头,假设新的节区在文件中占 200h,由于该程序的内存和文件的映射关系如图: 内存中的地址 文件中的地址 0x0040
PE文件之PE映像尺寸详解
e1135281874的专栏
12-25 2717
pe映像就是pe文件加载到内存中的总尺寸,大部分情况下(也可以认为始终就是这样,因为没有资料说必须是这样,但经过试验发现总是为一固定值。为了此文的严谨性,此处用了“大部分情况下”)这个尺寸是以4096字节对其的,这取决于windows的内存机制,内存页的大小总是4096字节。这种情况在磁盘文件中也有所表现,我们可以在磁盘中新建一个txt文件,在里面写入一个字符“a” 并保存。这时我们查看一下此文件
PE学习笔记二:节的操作
qq_28526211的博客
03-28 196
节表: 节表确定了节数据的属性,数量,大小等等; BYTE name,节的自定义名字,常见.text等等,但这并不是固定的,多数加壳程序可以修改节的名字; uniom{DWORD VirtualSize} Misc 在内存中实际的大小 DWORD VirtualAddress 在内存中的偏移,他加上扩展PE头中的ImageBase就是在内存中真正的地址;(换句话说,他是在内存中的) DW...
PE手工分析-导入表和导入函数地址表分析
happylife1527的专栏
10-15 765
http://www.cnblogs.com/SkyMouse/archive/2012/05/10/2493775.html 在上篇:PE手工分析-PE头 中我们了解了PE文件头内容,在此基础上我们来分析一下导入表和导入函数地址表的内容. 还是使用上篇使用的PE文件来分析,上一篇中我们基本上已经定位出PE头的位置以及相应内容. 在PE扩展头中包含 IMAGE_DATA_DIRECTORY
EverEdit语法
最新发布
07-28
EverEdit是一款国产的文本编辑器,它具有强大的功能和用户友好的界面。虽然在稳定性和用户体验上可能还有一些差距,但它有着巨大的潜力,并且完全免费。\[1\]在国内,人们经常使用的编辑器有UltraEdit,EmEditor,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值