逆向工程核心原理之UPack PE文件头

最新推荐文章于 2020-08-08 16:15:44 发布
最新推荐文章于 2020-08-08 16:15:44 发布
阅读量768 收藏
点赞数
分类专栏: 逆向 文章标签: 逆向工程核心原理 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/80880640
版权

0x0 两个文件对比

正常的notepad.exe

使用Upack压缩后的notepad.exe,可以看到无法正常读取PE文件头。

 

0x1  重叠文件头

IMAGE_NT_HEADER的起始位置是可变的

 

0x2  修改SizeOfOptionalHeader的值

SizeOfOptionalHeader的值被修改成了0x0148(原来定义的是32位是E0,64位是F0)。

IMAGE_OPTION_HEADER的起始偏移是0x28,加上0x148,得到IMAGE_SECTION_HEADER的起始偏移0x170。所以说SizeOfOptionalHeader的另一层含义是确定IMAGE_SECTION_HEADER的起始偏移。

红框中的是Option_header,后面的是Data_Directories,以NULL结尾,从0xD7开始到0x170,是额外的空间,被填充了Upack的解码代码。

0x3  IMAGE_OPTIONAL_HEADER.SizeOfNumberOfRvaAndSizes

SizeOfNumberOfRvaAndSizes指出IMAGE_DATA_DIRECTORY结构体个数。默认是0x10,可以看到图中是0xA0,剩下的区域则可以填充自己的代码。

红框中未被描深的地方是IMAGE_DATA_DIRECTORY结构体,一共0xA个,以NULL结尾。剩下的从0xB-0x10都填充了Upack的代码。

0x4   重叠节区

PE装载器会将文件偏移0-1FF的区域分别映射到3个不同的内存位置(文件头,第一节区、第三节区)。用相同的文件映像可以分别创建出处于不同位置的、大小不同的内存映像。

0x5  RVA to RAW

节区开始的文件偏移的PointerToRawData值应该是FileAlignment的整数倍。PE装载器发现第一个节区的PointerToRawData值不是FileAlignment的整数倍时,会强制将其识别为整数倍。

0x6  导入表

 

RVA是0x000261EE,大小为0x00000014

RAW=0x261EE-0x26000+0(本来是10,但是强制对齐了)=0x1EE

每个IID是20个字节。

从上图中看出,跟在后面的不是NULL结尾也不是第二个结构体。

从之前重叠节区那张图可以看到第三节区起始偏移为0x10,大小是0x1F0,所以第三节区到0x200就结束了,0x200以下的部分是不会映射的第三个节区内存的。剩下的地址用NULL填充。

0x7  导入地址表

根据0x6中的IID结构,可以得到如下信息:

INT:0(RVA)

Name:2

FirstThunk(IAT):11E8

Name的RVA值为2,属于Header区域,RAW也是1

11E8-1000+0=1E8

IAT区域,该处是Name Pointer(RVA)数组。有两个函数地址,0x28和0xBE



wangtiankuo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构-Nt
小喇叭儿滴滴的吹
02-11 374
首先,我们需要知道如何定位到Nt部,这个在上篇博客中Dos部的e_lfanew字段中,该字段可定位到Nt部 先来看一下这个32位的Nt结构 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //50 45 00 00 PE标志 IMAGE_FILE_HEADER FileHeader; //文件 IMA...
Stud_PE PE分析工具
01-30
特别是面对UPack这样的加壳技术,Stud_PE能有效地剥离壳层,展示被加壳程序的原始PE信息,这对于逆向工程和恶意软件分析来说极其关键。 首先,Stud_PE的界面直观且操作简便,用户可以通过菜单栏和工具栏轻松访问...
AVI文件格式详解
热门推荐
ykizz的博客
06-30 3万+
AVI是音频视频交错(Audio Video Interleaved)的英文缩写,它是Microsoft公司开发的一种符合RIFF文件规范的数字音频与视频文件格式,原先用于Microsoft Video Windows(简称VFW)环境,现在已被Windows95/98,OS/2等多数操作系统直接支持。AVI格式允许视频和音频交错在一起同步播放,支持256色和RLE压缩,但AVI文件并未限定压缩标
逆向工程核心原理源代码
qq_39249347的博客
08-08 2097
链接:https://pan.baidu.com/s/1qvXbeE9AIZyTpVTKIIyuGA 提取码:zofw
【翻译】“PE文件格式”1.9版 完整译文(附注释)
10-30 1148
标 题: 【翻译】“PE文件格式”1.9版 完整译文(附注释)作 者: ah007时 间: 2006-02-28,13:32链 接: http://bbs.pediy.com/showthread.php?threadid=21932$Id: pe.txt,v 1.9 1999/03/20 23:55:09 LUEVELSMEYER Exp $PE文件格式系列译文之一----          【
whatamitoyou-小白详解
u014101410的博客
08-15 2158
实验吧题目的writeup(小白详细(图))是本人,不存在抄袭,writeup不知道成功没,查询不到,所以在这里简略备份记录一下研究成果; UE打开 可以看到是文件是ELF,内部有linux的库字符,使用gcc编译;去linux系统下看文件 ELF信息 百度得知ELF是linux下的文件,运行readelf –h whatamitoyou可以查看文件信息 可以看到该文件是AMD...
Python库 | upack-0.0.2.tar.gz
05-24
资源分类:Python库 所属语言:Python 资源全名:upack-0.0.2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Clamscan unpacker:派生自 ClamAV 的 Packer,用于解压可移植的可执行文件-开源
05-30
在 IT 领域,打包程序如 UPX、NSPACK、UPACK 和 ASPACK 等被开发者用来减小文件大小,提高分发效率,但同时也被恶意软件作者利用来隐藏恶意代码。这些打包器通过对原始可执行文件进行压缩和混淆,使得传统的反病毒...
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱壳_vmp3.0-3.0x脱壳_vmp一键脱壳_v
07-15
VMP脱壳,通过简单几个步骤不需要去研究VMP的原理了。
winupack加壳工具
01-10
在提供的文件列表中,有WinUpackR.exe、WinUpackE.exe、WinUpackC.exe、Upack.exe等不同版本或组件,它们可能是工具的不同模式或功能的执行程序,如WinUpackR可能是常规压缩模式,WinUpackE可能是用于加密的版本,...
逆向工程源码.zip
10-07
逆向工程核心原理一书的源代码,有需要的朋友可以下载。
逆行工程核心原理pdf、代码以及编译好的测试软件
02-08
超清的pdf,连代码都可以看清楚,而且目录很完整。里面附带了所有例子的源代码,怕有人无法搭建编译环境,所以还添加了代码编译好的程序。
逆向工程核心原理
weixin_34406061的博客
01-08 2101
逆向工程核心原理》 基本信息 作者: (韩)李承远    译者: 武传海 丛书名: 图灵程序设计丛书 出版社:人民邮电出版社 ISBN:9787115350183 上架时间:2014-4-15 出版日期:2014 年4月 开本:16开 页码:1 版次:1-1 所属分类:计算机 > 软件工程及软件方法学 > 综合   更多关于》》》《逆向工程核心原理》  ...
who are you-实验吧1
Gunther的博客
09-03 3085
who are you 参考了各处blog:发现只有这个链接可以求出flag 在看看求不出来的链接的内容: 简书 作者:Ovie #-*-coding:utf-8-*- import requests import string url="http://ctf5.shiyanbar.com/web/wonderkun/index.php" guess='abcdefghijklmn
实验吧ctf题库:这个看起来有点简单!
qq_30990005的博客
06-17 6413
       查看这道题先登陆“实验吧”,地址为 http://www.shiyanbar.com/ctf/33 。       这是一道十分基础的web题目,因为我也是刚刚接触ctf,记录一下第一道题的解题过程,算是自己的一个回顾吧,同时也给一些想要入门的朋友一点点微弱的参考吧。一、sqlmap的安装       在windows下安装sqlmap需要先下载适用windows的sqlmap版本和...
如何查看被加密的宏代码
wangtiankuo的博客
04-25 4618
使用文本编辑器打开Word文档,找到DPB,修改DPX,保存。 打开文档,无论报任何错误都选则“是”,继续打开文档。 使用Alt+F11打开宏代码,选择Project->Project属性->保护,设置新的密码,保存并关闭文件。 重新打开文件,使用自己设置的新密码便可以查看宏代码了。 ...
LogFeaturePack: Error: Error in Feature pack D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack. Failed to parse manifest: Invalid Json Token. Line: 43 Ch: 4
最新发布
07-16
这是 Unreal Engine 的日志中的一条错误信息,指示在解析特性包(Feature Pack)的清单文件时发生了错误。具体是位于 D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack 的 TP_VirtualRealityBP 特性包。 错误信息表明在解析清单文件时遇到了无效的 JSON 标记。具体指明了错误发生在第 43 行的第 4 个字符位置。 要解决这个问题,你可以尝试以下几个步骤: 1. 检查清单文件中的 JSON 格式是否正确,确保没有语法错误或缺失的标记。 2. 验证特性包是否完整且没有损坏。可以尝试重新下载或替换特性包文件。 3. 如果你自己创建了特性包,确保清单文件与实际文件结构一致,并且符合 Unreal Engine 的要求。 4. 确保使用的 Unreal Engine 版本与特性包兼容。有些特性包可能需要特定版本的引擎才能正常解析和使用。 如果问题仍然存在,可以尝试在 Unreal Engine 的官方支持论坛或开发者社区中寻求帮助,提供更详细的错误信息和背景信息,以便其他开发者能够更好地帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值