PE格式文件修复过程

最新推荐文章于 2024-07-29 16:32:12 发布
最新推荐文章于 2024-07-29 16:32:12 发布
阅读量3.4k 收藏 6
点赞数 2
分类专栏: 技术 文章标签: PE windows 安全 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slc1112/article/details/111089013
版权

这几天心血来潮想研究一下PE格式文件,因为我们知道PE文件其实是Windows离不开的一个文件格式,理解了这个格式对以后也有帮助。PE格式文件修复过程。一般来说,正常的PE结构PE头和PE体两部分组成。其中,PE头DOS头、DOS存根、NT头、节区头几部分,余下的节区合称为PE体。PE是Windows可执行文件总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关。意思是,即使一个文件没有任何扩展名,也可以是可执行文件。
理论讲PE有很多结构体,结构体里面又包含很多字节,如果全部记忆下来恐怕也需要很长时间,不如直接就研究下实际修复PE格式文件的过程。实际上有用的头部字节就几个。首先是MZ这两个字,然后,注意到在3C偏移处需要存一个dos头的变量e_lfanew,这个值指示了程序入口。
话不多说,直接开始实例练习,打开一个dll文件分析,这个dll文件看样子大致是一个PE文件。这是因为后面有.text,.data等字符。
但是我们发现头部几个字节看着明显不是PE文件的样式,显然是被更改过,我们找到另外一个dll,直接把这些字节复制过去。
在这里插入图片描述
从其他的DLL文件复制前面4行字节可得。
在这里插入图片描述
之后用exeinfo探测,发现没什么用。
在这里插入图片描述
之后,仔细观察发现没有PE这个字样,我们找到入口,将PE代表的字节数插入进去。在这里插入图片描述
并且还需要把DOS头中最后4个字节指向PE字样的地址。最终修复后结果图如下。
在这里插入图片描述
然后就完成了修复过程,再次使用exeinfo发现得到了全部的信息。
在这里插入图片描述
总结,PE文件一般来说为了隐藏,往往会抹去一些头部字样,这种情况下软件一般来说不会自动添加,既然软件不会自动添加就需要人为添加来将这个文件修复,首先多看几个PE文件,总结规律,然后看看所需要修复的文件缺少哪个字样,再将入口的偏移更改,最后检查一下。然后通过软件来验证修复结果,只要exeinfo软件能够打开的PE文件就证明结果是正确的,exeinfo软件的下载地址可以在吾爱里面找到。
不同的PE文件损坏的修复过程是不一样的,以上只是一个例子,要想修复更多的同类型文件还需要对PE整个结构了解更加深入,特别是每个字段的存储空间和存储的数据类型。

爱电脑的小白
关注
专栏目录
PE文件格式修复工具
05-08
PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具
使用WindowsPE 恢复删除的文件
weixin_33748818的博客
01-11 692
1.1.1 恢复删除的文件 误删除之后,第一件事就是恢复数据,如果又在该分区存放了新的文件,有可能覆盖了删除了的文件,可能就不能完整恢复整个文件,或根本就恢复不了。 万一不小心彻底删除了不该删除的文件,不要在该分区盘上拷任何新文件,从Windows PE引导,进入系统恢复删除的文件。 步骤: 1. 使用WinPE老毛桃引导系统。 点击“开始”à“程序”à“文件工具”à“”。 点击,选择...
pe文件结构
最新发布
2303_81165358的博客
07-29 918
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式
repair pe(pe修复工具)
03-26
一个pe的修复工具,可以修复pe文件的,用了就知道了!
PE文件修改修复助手-两款合集
01-15
收集来的两款PE文件修复工具,非常小巧实用。一个是RepairPE,另一个是PE修复工具,国产的,牛人编写
PeEdit PE文件头修改工具
08-18
安全可以用已经验证。
手工修复PE文件的IAT
xujunjie的专栏
11-04 2947
在做PE文件二次开发常常需要手工添加导入函数,例如程序导入了7个dll文件(如下图),每个导入的dll有一个对应的IID: 其中前三个dll是程序隐式调用的,编译会自动添加IID数组中,PE头中的数据目录项有一个AddressOfImport字段指向该数组的首地址,数组以一个全零的IID结束; 后面五个dll是手工添加进去的(可以借助LordPE工具添加),通过FirstTrunk可以看到
PEChecksum计算PE文件校验和的工具
10-31
Windows操作系统中,PE文件格式是可执行文件(如.exe和.dll)的标准结构。PEChecksum软件的主要功能是对这类文件进行校验和计算,以确保文件的完整性和正确性。 PE文件结构是微软在Windows操作系统中引入的一种二...
修复PE 文件导入表
09-02
PE文件,全称为Portable Executable,是Windows操作系统中用于执行程序的文件格式。它包含了代码、数据、资源等信息,而导入表则是PE文件的重要组成部分,用于指示程序在运行如何调用其他动态链接库(DLL)中的...
mz.rar_MZ_PE头_mz与pe_文件头mz?
09-24
"恢复PE文件"这部分可能指的是处理因各种原因损坏或不完整的PE文件的过程。这可能涉及到使用工具或手动编辑文件来修复头信息,确保文件的正确解析和执行。 当我们谈论"文件头mz?",这可能是在询问关于MZ头的特定...
写一个PE的壳_Part 5:PE格式修复+lief源码修改
可乐松子的博客
05-27 804
文章目录1.CFF查看2.python再次加载3.异常2的Raw问题step 1:运行程序step 2:调试器运行程序step 3:单步调试step 4:CFF查看二进制step 5:查看LIEF源码step 6:解决办法step 7:结果验证step 8:源码修改建议4.参考 用原教程中Part 4的py文件处理test.exe,生成名为packed_bug1.exe程序;运行直接报错 下面给出了整个修复的思路 1.CFF查看 CFF看一下packed_bug1.exe,直观上会发现2处异常,导致PE
PE文件结构处理经验总结
点点灵犀
04-21 1264
这个是我原先发在看雪上的一个帖子。 本文不是讲解Pe文件格式的,而是对Pe格式编程遇到的问题的记录和总结。 如果对Pe文件不是很熟悉,请先查阅其他人写的PE文章。   该贴是我在写加壳工具的候遇到问题的总结。记录下来,供以后温习,希望对各位也有一定帮助。   由于本人接触该方面间不长,免不了存在失误之处,敬请拍砖。      1. IMAGE_DOS_HEADER
pe文件头详解
weixin_30906701的博客
12-01 142
转载于:https://www.cnblogs.com/Chary/p/10050070.html
问题1,PE文件转到内存中出现解析PE正确的问题
u012129783的博客
08-04 3242
1,使用fopen(FileName, “r”) r的方式读取文件到内存,此就可能存在问题了,r以只读方式,有候不表示字符的有可能就不读了,那么内存中就不会是完整的原始文件。所以此要采用rb,二进制读取的方式。 bool ReadFileToMem(char* FileName, char**buf) { FILE* f; f = fopen(FileName, “r...
使用U盘PE修复电脑常规问题
liuhedev的博客
05-31 5491
一、制作u盘电脑店pe系统前期准备 1、下载电脑店pe系统U盘装机工具V7.5,下载完毕后解压即可。 2、准备一个8G内容或以上的U盘。因为制作U盘启动工具,会对U盘进行格式化,因此,请确认U盘原有资料的备份。 二、制作u盘电脑店pe系统步骤 1、插入U盘,打开解压出来的电脑店文件夹,双击“DianNaoDian”。   2、在电脑店装机维护工具套餐页面中,在【U盘启动】选项卡中,设置用于制作的U盘,一般情况下软件会自动识别设置。若是有多个U盘,可以通过点击【选择设备】右侧的下拉菜单进.
PE修复NTLDR is missing
gsls200808的专栏
11-20 7427
winxp启动出现NTLDR is missing Press Ctrl+Alt+Delete to restart 出现这种情况的原因是因为XP的引导文件ntldr丢失,或者ntldr和boot.ini一起丢失了,这种情况只要修复引导即可解决 ntldr和boot.ini是系统文件,需要设置显示系统文件才能看到,如下 网上的大部分解决方法都是用原版镜像修复,实际上大部分PE
Windows PE结构 修复重定位地址的详细具体步骤
qq_27814223的博客
07-24 368
因此,在进行重定位操作后,还需要确保可执行文件的映射范围足够容纳修复后的地址。当将可执行文件的ImageBase从0x400000修改为0x500000,需要进行重定位(relocation)操作来修复程序中涉及到ImageBase的地址引用。Windows pe 重定位表 重定位表修复 重定位修复 重定位的修复方法重复步骤3到步骤6,直到遍历完所有的重定位项。将原地址加上新的ImageBase与原ImageBase的差值,得到修复后的地址。重定位项中记录了需要修复的地址的偏移量。
pe结构分析之手工修复导入表
ChuMeng1999的博客
10-25 1442
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 本实验要求实验者具备如下的相关知识。 1.加密外壳中,破坏原程序的输入表是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入表概念非常清楚。常见输入表的结构是为了表示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT来表示。 INT:全称import name table输入名称表。简单来说,INT表存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。 IAT:全称i
winhex编写pe文件
01-28
winhex是一款十六进制编辑器和文件恢复工具,虽然它主要用于编辑和恢复文件,但也可以用来编写PE文件。PE文件是一种Windows可执行文件格式,通常包括EXE和DLL文件。在winhex中编写PE文件需要对该文件格式有一定的了解。 首先,打开winhex并创建一个新的文件。然后,选择“编辑”菜单中的“插入”选项,以便插入PE文件的头部信息。在新的文件中,需要按照PE文件格式的规范依次填写文件头、可选头和节表等信息,确保文件的格式和结构是符合PE文件的标准。 接着,需要逐个添加节表,每个节表包括名称、虚拟大小、虚拟地址和物理地址等信息。这些信息在winhex中可以以十六进制的形式进行编辑和填写。同,还需要在文件中添加导入表和导出表等PE文件所需的信息以确保文件的正常运行。 在编写PE文件的过程中,需要谨慎操作并确保每个部分的格式和信息都是正确的。一旦文件的结构和内容存在问题,那么文件可能无法被正确识别和执行。因此,在使用winhex编写PE文件,需要对PE文件格式有一定的了解,并且要仔细检查每个部分的内容,以确保文件的正确性和可执行性。 总之,使用winhex可以编写PE文件,但需要对PE文件格式有一定的了解,并且需要仔细操作以确保文件的正确性。同,也可以参考相关的文档和工具来辅助编写PE文件,以提高工作效率和准确性。 (300字)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值