171007 逆向-PE压缩

最新推荐文章于 2020-10-28 08:53:44 发布
最新推荐文章于 2020-10-28 08:53:44 发布
阅读量626 收藏
点赞数
分类专栏: 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78188251
版权

1625-5 王子昂 总结《2017年10月7日》 【连续第372天总结】
A. PE压缩
B.

无损压缩

rar,zip等就是具有代表性的利用无损压缩算法的格式,压缩后需要解压缩才能运行。

有损压缩

通常压缩多媒体文件(jpg.mp3.mp4)时都使用有损压缩方式。原理是牺牲人类无法察觉到的部分来换取压缩率。例如mp3的核心算法是删除超越人类听觉范围的波长区段。

运行时压缩

这种方法针对可执行文件,文件内部含有解压代码,压缩后可执行并自解压。也就是常说的壳。

压缩器

目的主要是缩减PE文件的大小和隐藏内部代码及资源。

保护器

目的主要是反逆向,运用了多种防止代码逆向分析的技术(反调试,反模拟,代码混淆,多态代码,花指令,调试器监视等)。
这类保护器使压缩后的PE文件尺寸反而比源文件要大一些,但调试起来非常困难。

脱壳

脱压缩壳比较简单,方法有很多种。以UPX为例,先PUSHAD将所有寄存器保存,然后解压缩还原节区,POPAD将寄存器还原,最后jmp到另一个节区的OEP完成。
针对流程,可以以POPAD或是跨节区的特征作为特征找到OEP,将内存dump下来后修复IAT即可还原程序。
修复IAT是另一项比较头疼的工作,xp中的内存地址是固定的因此通常IAT准确,但INT往往是损坏的。而win7甚至更新的系统有可能IAT由于内存随机分配也是损坏的。

C.明日计划
基址重定位表

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
64位支持PE文件压缩工具
01-17
64位EXEDLL支持的压缩壳,360测试无误报
UPack 压缩PE头文件分析(特点总结)
m0_62690279的博客
04-15 1124
文章目录UPack 头文件分析(特点总结)概述压缩方法PE文件头部分的特征表现特征具体改变重叠文件头具体修改文件头(IMAGE_FILE_HEADER)中可选头(IMAGE_OPTIONAL_HEADER)的长度(E0)原理(创造空间,插入代码)原因查看插入的代码修改可选头中的NumberOfRvaAndSizeNumberOfRvaAndSize具体修改IMAGE_SECTION_HEADER的空间利用重叠节区RVA to RAW的特征IMAGE_IMPORT_DESCRIPTOR array(导入表)的
PECompact exe/PE压缩工具
07-23
PECompact exe/PE压缩工具
一篇逆向压缩的算法
Lenus的专栏
08-07 1056
代码出自pediy. LTT的题目,Aker解决.现在将代码帖出来,不过我还没有太看明白,我会继续跟踪学习的 #include #include class CBitEncoder{    PBYTE m_pbuf;    UINT m_len;        UINT Prob;    UINT _cacheSize;    BYTE _cache;        UINT64 Lo
js格式化排版工具, 反向js压缩编码
06-08
js格式化排版工具,以及如何将压缩的js编码反向过来
PeViewer - PE格式文件查看器 - 中文版
最新发布
11-20
"PeViewer - PE格式文件查看器 - 中文版" 描述了这个软件的核心特性,它主要服务于那些需要查看PE格式文件的用户,比如开发者、安全研究员或者逆向工程师。"查看Windows平台的PE格式文件的节区信息" 指出PeViewer...
checkPE.rar_Pe-file_infector_pe
09-22
标题中的"checkPE.rar_Pe-file_infector_pe"暗示了我们正在处理一个与PE文件相关的...对于系统安全人员、逆向工程师和恶意软件分析师来说,这样的工具是宝贵的资源,能够帮助他们更好地理解和防御PE文件相关的威胁。
PED - PE dumper/disassembler-开源
04-26
综合以上信息,PED是一个专注于PE文件分析和反汇编的开源工具,适用于需要深入理解二进制代码的开发者、安全专家或者学习逆向工程的学生。其源代码的开放性使得用户可以根据需要定制和扩展功能,同时也能增进对...
pe.rar_pe
09-23
至于提供的压缩包子文件“www.pudn.com.txt”可能包含有关PE文件分析的教程、代码示例或者资源链接。而"pe"可能是一个实际的PE文件,用于实际操作和学习。 总之,理解和分析PE文件是深入研究Windows编程和逆向工程...
PE文件结构分析(包括DOS头、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
目录 一、 PE文件总述 2 1、PE文件和COM文件 2 2、PE文件基本结构 2 二、 DOS头 3 三、 PE文件头 4 1、PE标识 4 2、映像文件头IMAGE_FILE_HEADER 4 3、可选映像头文件 5 四、 节表和节 8 1、节表 8 2、RVA和FOA 9 3、节 9 五、 修改思路 14 1、基本 14 2、进阶 14 六、 实现 15 1、修改后文件 15 1、查找序列号的错误打开方式和正确打开方式 16
一个清除windows文件PE头中的垃圾字节来缩短PE文件大小的演示程序。很好的说明了PE结构中无用的部分。学PE结构的朋友可以.zip
01-17
一个清除PE头垃圾来缩短PE文件大小的演示程序。很好的说明了PE结构中无用的部分。学PE结构的朋友可以.zip
PE系统压缩
12-26
装机所需的PE系统文件 用PE系统进行装机的时候需要把这个zip解压到装机盘中
一种简单的PE压缩算法(Win32汇编)
tutucoo
12-12 1193
这种算法的核心逻辑是:在对PE进行压缩的时候,如果碰到连续的多个0,比如说0000 0000,会将它变成0 8,0后面的8用来记录0的个数。 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc in...
在masm下编译一个较小的PE文件
谢绝留言与私信
07-18 692
前言写一段masm32汇编程序 link要使用masm32自带的link(改名或指定全路径) 使用link编译选项 /MERGE, 合并的段名用Winhex或PE分析工具来看.代码片段echo off rem file buildcmd.bat rem brief build projetcall clearcmd.batMl32.exe /c /coff hw.asm if errorleve
PE文件格式分析及修改
lxslove的专栏
11-06 1761
PE 的意思是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植的执行体)意味着此文件格式是跨Win32平台的;即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识
如何减小PE的尺寸
Home Of HappyBear
04-16 2558
从原理上讲有两种方法一是减小PE文件的区块(section)对齐大小;二是合并区块,具有相似或一致属性的区块可以合并。具体实施办法对应第一种方法可以调整参数,使用/OPT:NOWIN98链接选项,可以让Section按512字节对齐,而不是默认的4K字节。对应第二种方法也是加参数,合并段,例如:/merge:.data=.text,又如/merge:.rdata=.te
逆向——运行时压缩
qq_45873163的博客
10-28 240
1.数据压缩 数据压缩是计算机工程的主要研究内容,经过数十年发展已经有了深入研究,今后还会出现更多,更好的算法。不论哪种形态的文件都是由2进制组成的,只要使用合适的压缩算法,就能缩减其大小。经过压缩的文件若能100%恢复,则称该压缩为无损压缩;若不能恢复原状,则称该压缩为有损压缩。 无损压缩 无损压缩用来缩减文件的大小,压缩后的文件更易保管、移动。使用经过压缩的文件之前,需要先对文件解压缩(此过程应该保证数据完整性)。 如7-zip的压缩文件就是无损压缩算法。最具代表性的无损压缩算法有Run-Length、
压缩壳的实现相关细节(强奸PE
weixin_33701294的博客
06-15 506
加壳 原理:改变原始OEP的指向 指向壳程序 壳程序可以添加其它程序 如弹密码框 只有密码正确就运行(只是所有函数动态加载) typedef int (WINAPI *LPMESSAGEBOX)(HWND, LPCTSTR, LPCTSTR, UINT); //MessageBoxW typedef DWORD(WINAPI *LPGETPROCADDRESS)(HMODULE, LPCSTR...
PE可执行文件“减肥”实例
nicotinism的专栏
07-22 1072
    网上有很多用于查看“拨号设置”、“邮箱帐号”等密码框密码的程序,大小从几十KB到几百KB不等。其实,就是向edit控件发送一个WM_GETTEXT消息,并没有什么神秘的技术可言,程序写起来也并不复杂,大小应该几KB足以。让我们看看它到底能小到什么程度?    (相关程序,请在www.csdn.net“软件频道→工具类软件→其他工具”处,下载“mini密码查看器”)    要得到
使用Mybatis-Plus进行逆向工程的实践
"mybatis-plus逆向工程" 在Java开发中,MyBatis-Plus(简称MP)是一个基于MyBatis的强大的持久层框架,它提供了简化 CRUD 操作的工具和强大的实体关联填充功能。逆向工程是MyBatis-Plus的一个特性,允许开发者通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值