逆向——PE头及导入表应用

最新推荐文章于 2024-03-12 16:47:46 发布
最新推荐文章于 2024-03-12 16:47:46 发布
阅读量1.7k 收藏 12
点赞数 5
分类专栏: 逆向课堂实验记录 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51153624/article/details/123668631
版权

逆向——PE头及导入表应用

文章目录

前言

本次实验主要是熟悉PE文件格式,通过对PE文件头分析,理解PE文件格式,掌握主要数据结构的定位及其功能,如入口点、节表、节、导入表等。研究如何利用工具对各部分的内容进行读取分析显示,理解RVA、VA、FOA之间的关系;初步掌握汇编程序的调试方法。

本次用到的实验工具:OllyDBG、WinHex、PEditor等

提示:以下是本篇文章正文内容,下面案例可供参考

一、PE可执行文件分析

.386
.model flat,stdcall
option casemap:none

include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib

;数据段
.data
szText db ‘HelloWorld’,0
;代码段
.code
start:
invoke MessageBox,NULL,offset szText,NULL,MB_OK
invoke ExitProcess,NULL
end start

二、调试软件OllyDBG

2.1、利用OD软件调试PE文件。

从OD反汇编的结果分析,invoke MessageBox,NULL,offset szText,NULL,MB_OK分解成哪几个指令?

PUSH 0
PUSH 0 ; MB_OK 的值
PUSH OFFSET 00403000 ; szText字符串地址
PUSH 0 ; NULL的值
CALL <JMP.&user32.MessageBoxA> ; 调用user32模块中的MessageBox函数

2.2、怎么理解E8 08000000?

答:使用E8调用Call指令,E8后面跟着的是偏移地址,0800 0000应该高位先读,所以是0000 0008;Call指令把它吓一跳指令压栈,所以有0040 1010+0000 0008=0040 1018,随即跳转到地址0040 1018执行。
在这里插入图片描述

2.3、F7单步步入和F8单步步过 有什么不同?

答:

最低0.47元/天 解锁文章
是榛子耶~
关注
专栏目录
[网络安全自学篇] 六十二.PE文件逆向PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
PE文件的基本结构-4 导入
zhangxinrun的专栏
08-24 1002
<br />导入的位置和大小可以从PE文件头中IMAGE_OPTIONAL_HEADER32结构的数据目录字段中获取,对应的项目是DataDirectory字段的第2个IMAGE_DATA_DIRECTORY结构,从结构的VirtualAddress字段得到导入的RVA值。<br />导入由一系列的IMAGE_IMPORT_DESCRIPTOR结构组成,结构的数量取决于程序要使用的DLL文件的数量,每个结构对应一个DLL文件,在所有这些结构的最后,由一个内容全为0的IMAGE_IMPORT_DESCR
逆向PE文件解析
一个努力生活的人的博客
05-11 1504
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
逆向工程核心原理》第13章——PE文件格式(1):PE
diamond_biu的博客
12-05 757
介绍 本章将详细讲解WIndows操作系统的PE(Portable Executable)文件格式相关知识。同时整理有关进程,内存,DLL等的内容。 PE是指32位可执行文件,也称PE32。64位可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。 PE文件格式 PE文件种类如下: 种类 主扩展名 可执行系列 exe scr 库系列 dll ocx cpl drv 驱动程序系列 sys vxd 对象文件系列 obj 严格来讲,obj文件之外的所有文件都是.
pe逆向的一些小概念
zhuyouwei0609的博客
08-29 492
pe是啥? PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)[1] 通过pe文件结构要推出啥? 入口在哪 数据在哪 程序在哪 pe逆向流程? 二进制——〉汇编——〉c语言 二进制编辑器打开的程序的二进制值是低位在前,高位在...
逆向——PE导出分析及应用
young的博客
03-22 1693
逆向——PE导出分析及应用 文章目录逆向——PE导出分析及应用前言一、利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。二、pedtior打开本机的kernel32.DLL三、实现两种方式的导出函数覆盖-1四、实现两种方式的导出函数覆盖-2总结 前言 本次实验的目的主要是分析PE文件的导出结构,分析导出函数VA的获取过程,得出导出结构;研究导出的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。 本次用到的实验工具有:OllyDBG、Ped
滴水逆向——PE打印绑定导入
sunr.
04-15 581
1.绑定导入结构 2.定位绑定导入 3.注意: IMAGE_IMPORT_DESCRIPTOR结构中的TimeDateStamp可以知道一个DLL有没有被绑定。TimeDateStamp为0,即未绑定;为-1即为绑定。 当IMAGE_BOUND_IMPORT_DESCRIPTOR结构中的TimeDateStamp与DLL文件标准PE头中的TimeDateStamp...
滴水逆向——PE打印导入
sunr.
04-15 773
1.导入数据结构 2.PE文件载入内存前后导入变化 3.打印步骤 4.一张图体会重定位导入关系 DLL_A加载的基址本来是400000,但是被.exe占用了基址400000处,所以它的基址变为了1000000处。这时重定位的作用就是改变DLL_A中要寻找各函数的Roa,具体操作就是Roa-原基址(400000)+现基址(1000000),这...
滴水逆向——PE导入注入
sunr.
04-19 1108
1.注入概念: 2.导入注入流程: 第一步: 根据目录项(第二个就是导入)得到导入信息: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMA...
逆向基础-PE文件结构
AppWhite_Star的博客
07-30 359
逆向基础-PE文件结构
跟着王哥学逆向——PE文件详解篇(第一篇)
最新发布
qq_52642385的博客
03-12 3395
这是《跟着王哥学逆向PE文件详解篇第一篇,该篇章主要对PE文件内部结构进行仔细剖析,同时记录下来PE文件各个字节所代的含义,方便自己查看。此篇章对DOS头、PE文件头、区块等按照顺序介绍,有很强的系统性,计划下一篇章对导入、导出、资源、重定位进行详解。该系列学习主要参考小甲鱼讲的PE系列视频,真的很顶。
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
热门推荐
杨秀璋的专栏
03-10 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文讲解了i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点。本文将开启PE文件逆向解析相关内容,预计会连续分享六篇文章,第一篇告诉大家什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。本文章适合初学者学习,希望对您有所帮助~
PE格式系列_0x02:PE头部信息(WinDbg查看)
可乐松子的博客
05-23 1576
0x02 PE头部信息(WinDbg查看) 使用像CFF、Stud_PE等专用工具可以直接查看PE文件的格式,那还有必要学习PE的格式吗?前面学习目的就是答案 单纯的看PE格式介绍没什么意思,下面结合分析notepad软件来学习PE格式 工具:调试器是WinDbg、PE查看工具是Stud_PEPEview(任何一款PE工具都可以) 提示:WinDbg是windows下调试的神器,如果有时间的话,建议学习一个使用 1.notepad基本信息 先使用WinDbg简单了解一下C:\Windows\SysWO
PE_导入
个人笔记
03-27 363
导入导入简述调用一个外部函数流程导入中涉及的数据结构总览结构全局流程导向(这图要牢牢映入脑中)IMAGE_THUNK_DATA(这真是个理解大坑)导入描述符IMAGE_IMPORT_DESCRIPTOR结构信息IMAGE_IMPORT_BY_NAME查看IAT和导入并分析证明(磁盘中)桥一和桥二最终指向一样证明(加载内存中)桥一不变,桥二中地址操作系统填入函数真实地址 导入简述 目的:为实现代码重用而设置的。 一个PE文件调用了多少外来函数,以及这些外来函数都存在于那些动态链接库DLL里等信息。
PE结构学习(5)_导入与导出
xf555er的博客
08-07 1034
代码重用机制提供了重用代码的动态链接库, 它会向调用者说明库里的哪些函数是可以被别人使用的, 而这些说明的信息便组成了导出简单来说,PE文件提供一些函数给其他PE文件调用,这些函数都记录在导出里面任何PE文件还会调用哪些PE文件都会记录在导入里。因为PE文件可能要依赖多个模块,所以通常一个PE文件会有多张导入。...
深入剖析Win32可移植可执行文件格式 第一部分
求索
08-04 1652
 深入剖析Win32可移植可执行文件格式第一部分作者:Matt Pietrek 很久以前,我开始为Microsoft Systems Journal(现在的MSDN® Magazine)写文章,其中有一篇名为“探索PE文件内幕——Win32可移植可执行文件格式之旅”的文章很受欢迎,大大超出了我的意料。直到现在,我还听说有人(甚至在Microsoft)仍然在使用那篇文章,它依旧被
PE文件:(3)导入
weixin_43972499的博客
04-07 410
导入导入的概念导入的结构手动加载导入参考代码 导入的概念   可执行文件在进行加载时,需要导入一些动态库,即Dll文件。通过导入这些动态库,我们可以使用文件中提供的函数和功能,来为我们的可执行文件服务。这些Dll中的函数就称为导入函数。为了记录需要的动态库和导入函数,可执行文件在可选头的数据目录中维护了一张,这张记录了文件需要的所有动态库以及导入函数的信息,方便Windows加载器在加载PE文件时使用。这张就是所谓的导入,它被存储在数据目录的第二项。   可执行文件在使用动态库中的函数和代
逆向工程实验一
weixin_52852770的博客
03-09 1009
熟悉PE文件格式,通过对PE文件头分析,理解PE文件格式,掌握主要数据结构的定位及其功能,如入口点、节、节、导入等。研究如何利用工具对各部分的内容进行读取分析显示,理解RVA、VA、FOA之间的关系;初步掌握汇编程序的调试方法。
iOS应用符号恢复与逆向支付宝实践
在iOS应用开发中,符号对于逆向工程至关重要,因为它包含了程序中的函数名、变量名等信息。然而,为了保护应用的安全,iOS应用在发布时通常会剥离符号。本文作者杨君,一位中山大学的计算机系研究生,专注于iOS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值