从一个简单的实例来了解PE文件

最新推荐文章于 2024-07-29 16:32:12 发布
最新推荐文章于 2024-07-29 16:32:12 发布
阅读量581 收藏
点赞数
分类专栏: 自玩
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swust_zhangchun/article/details/79370221
版权

逆向工程(二):从一个简单的实例来了解PE文件

由于原来的链接失效,RegisterMe这个软件很难找到免费的,找了半天才找了一个reverseme,感觉还不太对,但是用来研究ollydbg应该是一样的。

 

 

1.准备好ollydbg

 

开始打开reverseme会出现下面这样的弹窗

 

2.然后用ollydbg打开reverseme

 

通过另一个教程,我知道了要去除掉这个弹窗,需要把0040107Bjnz  short 0040109A改成jmp short004010D8即可,于是,就很简单了。

找到0040107B 并双击,

 

然后更改。

 

至于为什么要这样改,我也没怎么看懂,原文的分析如下:

 


 

然后打开reverseme就变成了这个样子:

 

不知道算不算是成功了,反正内心

 

swust_zhangchun
关注
专栏目录
PE文件(三)
charge_release的博客
08-17 469
节表,又叫区段表,区段表是我们直接探索的最后位置了,区段是不需要直接解析的地方。 区段表存储着PE文件的一些属性,区段表是一个由若干个结构体依次排列组成的,每一个结构体代表着PE文件主体中的一段数据的属性,也就是每一个区段头都对应着PE文件主体的一段数据,这段数据叫做节或者叫区段,区段表规定了区段(节)的属性。 下面是节的定义typedef struct _IMAGE_SECTION_HEADE
PE文件结构详解
热门推荐
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件入门,一篇就够了
jmm18363027827的博客
05-24 1086
在108处占4个字节,我们插入的程序起始位置是000003A0.然后,然后就没然后了,程序运行不起,ida和od看到的东西都很奇怪,延误了两天,这里我直接说一下踩的坑,我随意找了一个空白处填充机器码,但后来发现不是所有的位置都能发生跳转,然后就将指令插入在了text段的末尾,然后发现跳转的有些差异,不会跳转在我设置的地方,后知后觉的发现,视频里的老哥演示的的时候拿的是一个文件对齐和内存对齐相同大小的程序,我用的程序是一个不同的,所以就要计算一下 用我们前面学习到的知识。功能呢就是弹出一个这样的错误窗口。
pe文件结构
最新发布
2303_81165358的博客
07-29 897
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式。
PE文件
donggui8650的博客
09-13 112
参考文献:https://msdn.microsoft.com/en-us/magazine/ms809762.aspx https://msdn.microsoft.com/en-us/magazine/bb985992.aspx PE文件到内存的映射:http://www.cnblogs.com/qintangtao/archive/2013/01/28/2880606.html...
PE文件格式
HappyTree的专栏
01-06 1462
 【翻译】“PE文件格式”1.9版 完整译文(附注释)=========================================================原著:Bernd. Luevelsmeyer                              翻译:ah007[注意:本译文的所有大小标题序号都是译者添加,以方便大家阅读。圆圈内的数字是注释的编号,其中注释②译自微软的
pe文件
eyesye
10-22 206
  PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)  一个操作系统的可执行文件格式在很多方面是这个系统的一面镜子。虽然学习一个可执行文件格式通常不是一个程序员的首要任务,但是你可以从这其中学到大量的知识。在这篇文章中,我会给出 Micro...
pe.rar_PE__pe_pe文件实例
09-14
"pe.txt"可能包含了关于PE文件格式的详细解释,包括DOS头、PE头、节区表等关键组件的介绍,以及它们如何协同工作来构造一个完整的PE文件。 6. **资料来源** "www.pudn.com.txt"很可能是一个链接或引用来源,提供...
pefile:pefile是一个Python模块,用于读取和使用PE(便携式可执行文件文件
05-06
pefile需要对PE文件的布局有一些基本的了解-借助它,可以探索PE文件格式的几乎每个功能。 特征 pefile使某些任务成为可能: 检查头 分析部分数据 检索嵌入式数据 可疑和格式错误的警告 PE的基本屠宰,例如PE的和 ...
C++判断pe文件实例
09-04
首先,我们需要了解PE文件的基本结构。PE文件由两部分组成:DOS头(IMAGE_DOS_HEADER)和NT头(IMAGE_NT_HEADERS)。DOS头通常包含一个"MZ"签名,表明这是一个遵循DOS可执行文件格式的文件。而NT头又包含一个"PE...
PE文件节区添加并弹出简单的对话框
12-03
通过阅读和分析PE文件,你可以了解如何在现有文件的基础上添加新功能,而不仅仅是简单地运行代码。这个过程中,你可能需要使用如OllyDbg、IDA Pro这样的调试和逆向工程工具。 在提供的压缩包文件中,可能包含了一些...
pyexefile:pefile是一个Python模块,用于读取和使用PE(便携式可执行文件文件
04-07
pefile需要对PE文件的布局有一些基本的了解。 有了它,几乎可以探索文件格式的每个功能。 特征 pefile使某些任务成为可能: 检查头 区域数据分析 检索嵌入式数据 可疑和格式错误的警告 支持PE的和,因此可以对PE...
swust软件技术基础卷子
07-27
swust软件技术基础卷子是一份考查软件技术基础知识的试卷。swust是西南科技大学的缩写,软件技术基础是该校软件工程专业的一门基础课程。 这份卷子旨在考察学生对软件技术基础的理解和掌握程度。卷子可能包含多种形式的题目,如选择题、判断题、填空题、简答题等。题目涉及的内容可能包括但不限于软件开发流程、编程语言、数据库管理、软件测试、软件工程规范等。 回答这份卷子需要学生对软件技术基础知识有一定的掌握。学生需要准确理解题目的要求,并结合自己的知识给出正确的答案。填空题和选择题需要学生根据对软件技术基础的理解,在给定的选项中选择正确的答案。判断题需要学生判断给定的陈述是否正确,简答题则需要学生用自己的语言解释和回答问题。 回答这份卷子还需要学生注意时间管理。卷子通常有一定的时间限制,学生需要合理安排时间,逐题解答,确保所有题目都有所作答。 总体来说,swust软件技术基础卷子是一个考察学生软件技术基础知识掌握程度的评估工具。学生需要准确理解题目,合理安排时间,结合自己的知识给出正确的答案。通过这份卷子的回答,学生能够巩固和提升对软件技术基础的理解和掌握,为日后的学习和工作奠定坚实的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值