本文详细描述了一次实验,通过WinHex手动添加文本节、rdata引入函数节和data数据节到PE文件,修复节表信息,分析段位置并使用stud_pe调整,旨在理解PE文件结构。作者还展示了如何使用OllyDebug进行字符串修正。
一、实验目的
通过使用winHex手动 在原来的文件中 追加节(.text代码节、.rdata引入函数节、.data数据节),然后利用stud_pe添加节表的name,大小等信息,对一个pe文件进行修复,从而了解一个pe文件的具体构成
二、实验步骤:
1.调试分析程序,找出错误原因。
2.从所给信息中分析出数据应该在哪个段及在PE文件中的位置,添加至文件。
3.修复其他涉及到段结构的部分,调试程序,使之正常运行
三、具体操作:
1.首先使用winhex 和 stud_pe找出问题所在:
(1)首先,直接打开程序和用OD打开程序都失败了
(2)然后,用stud_pe打开文件,发现number of sections 为0,这个肯定有问题,节的数目至少得有3个吧,然后,打开dataDerictory,全0,这就问题大了
(3)之后,用winHex打开,文件的总共大小为0-3FF,而文件的对齐为200H,所以,只有pe头部分和节表,节的具体内容根本没有
2.具体分析clues.txt中的3个节分别是rdata,text还是data:在winhex中分别进行打开创建,然后分析对应的ascii的内容:
(1)这个很明显是.data节的内容
(2)这个很明显是.rdata节的内容:
(3)最后那个节必然就是.text节的内容了,不信的话,可以用OD试一试,翻译这个2进制的汇编含义:
操作,用OD随便打开一个程序比如winhex.exe,然后在一个全0的位置点击鼠标右键二进制,编辑,直接copy进去,点ok之后,就可以在对应的位置看到汇编代码了,很明显的push,call等语句好吗
3、重点来了,使用winhex对节内容进行填充!
(1)分析3个段表的位置:
程序的入口地址为1000(RVA),ImageBase为400000,sectionsAlignment为1000,FileAlignment为200.
Clues.txt中是每个段表中的信息,每个段表中的内容都小于文件对齐大小0x200和段内存对齐的大小0x1000.所以在pe结构中,文件的结构布局应该是:
PE头(文件分布 0-3FF)内存分布40000-41000
SECTION1(文件分布400-5FF)内存分布 41000-42000
SECTION2(文件分布600-7FF) 内存分布 42000-43000
SECTION3(文件分布800-9FF) 内存分布 43000-44000
pe头加载到内存后的VA为1000.而程序的入口地址也为1000,说明代码段应该是第一个段表。
(2)开始使用winHex进行填充:
第一部分:1024字节的代码区
第二部分——1024字节的rdata引入函数区:
第三部分:1024字节的data数据区:
4.最后一步,就是在stud_pe软件中添加这3个节的 对应的节表的内容!:
(1)比如,填写第一个.text代码节表,
virtualsize 和 rawsize 都是指有效的字节数目
rawoffset就是200字节对齐的文件位置
virtualoffset就是1000字节对齐的内存位置
最后属性自己选右边即可
(2)效果:
5.进一步使用ollydebug对现实的字符串进行改正:
通过对这个00403007进行窗口跟随,发现这个字符串就是lab
所以,通过修改汇编为0040300D,数据才会变成下面这个
2051
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
