奥利给
qq_45992231
这个作者很懒,什么都没留下…
展开
-
PE结构新增一个节
吾爱破解论坛里面ly610abc的做法https://www.52pojie.cn/thread-1410348-1-1.html关于第一步中判断是否有足够的空间来添加节表是指PE头后紧跟着的就是节表,而节表经文件/内存对齐后就是节了,所以因为对齐的缘故,节表和第一个节之间有一定的空隙,若这些空隙能够插入一个新的节表就能够按照上面的步骤来做。若不能就要好多节的偏移,非常麻烦...转载 2021-09-02 20:26:25 · 120 阅读 · 0 评论 -
PE结构 扩大节*
首先是吾爱破解论坛lyl610abc的做法1.将最后一个节的SizeOfRawData和VirtualSize改成N,N = 节内存对齐后的大小 + 2.要扩大的大小3.修改 SizeOfImage大小=SizeOfImage大小+要扩大的大小4.分配一块新的空间,大小为:节内存对齐增加的大小+要扩大的大小这个做法实际上就是我们的目的是要把SizeOfRawData和VirtualSize都变成N,自然PE文件在磁盘中的块大小应该要增加一点。增加的大小就是节内存对齐增加的大小+要扩大的大小。因为在原创 2021-09-01 19:21:02 · 139 阅读 · 0 评论 -
EverEdit逆向 PE结构
text块virtual size 001990A9virtual address 00001000size of raw date 00199200pointer to raw date 00000400开始761000结束8FA0A9400+1990A9=1994A9 virtual size就是text块实际数据的大小符合rdata块virtual size 00037682virtual address 0019B000size of raw data 00037800poi原创 2021-09-01 17:56:29 · 162 阅读 · 0 评论 -
逆向 杂知识点
对于一个可执行文件的来说1.DOS头对于DOS头关注两个偏移量00h,和3ch前者的内容是一个WORD型数据标记了DOS头,为4D 5A h后者的内容是一个DWORD型数据是PE头的地址,即可通过DOS头的003ch中的内容知道PE头的地址2.PE头在PE头中讨论偏移量时都是相对于PE头的首地址的偏移量偏移量00h的单元内容是一个DWORD型数据,在有效的PE文件里为00 00 45 50h 在小段储存的模式下即为PE00偏移量04h到18h的单元内容为结构体IMAGE_FILE_HEADE原创 2021-08-26 19:48:33 · 5867 阅读 · 0 评论 -
对ReverseMe进行逆向的时候一点思考与问题*
首先函数调用的过程,都是先把函数要用的参数压入栈中,然后进行call操作,然后函数执行完后,刚才压入栈中的数据全部出栈,栈顶指针回到调用函数前的状态。可见API函数是根据栈中的数据进行调用的然后是GetModuleHandle函数,见https://blog.csdn.net/zhaodaozhang/article/details/32714969这里的参数正好是0,返回值是00400000,存放在EAX里面,首先返回值都存放在EAX里面这是可以理解的,但是为什么是00400000,ctrl+G跟原创 2021-08-18 17:35:45 · 135 阅读 · 0 评论 -
进程实例句柄和GetModuleHandle函数
进程实例句柄加载到进程地址空间的每一个可执行文件或者DLL文件都被赋予了一个独一无二的实例句柄。可执行文件的实例被当做(w)WinMain函数的第一个参数hInstanceExe传入。HMODULE和HINSTANCE其实他们完全是一回事。如果某个函数的文档指出需要一个HMODULE参数,我们可以传入一个HINSTANCE,反之亦然。之所以有两种数据类型,是由于在16位Windows中,HMODULE和HINSTANCE表示不同类型的数据。GetModuleHandle为了知道一个可执行文件或DL转载 2021-08-18 17:13:25 · 315 阅读 · 0 评论 -
ReverseMe程序逆向
经分析,发现只要在KeyFile中的数据是大于16个字节的,且G的个数是大于等于8的就可以通过程序原创 2021-08-17 19:49:19 · 228 阅读 · 0 评论