【逆向】节区

原创 于 2025-09-20 19:00:11 发布 · 1.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向 #CTF #PE文件 #二进制可执行文件

节区

概念

在PE和ELF这类可执行文件中,节区(section)是逻辑上划分的代码或数据块,把程序不同部分(代码、数据、资源等)分门别类存放。

内容

  • 一段连续的代码或数据
  • 一组权限属性(读、写、执行)
  • 在磁盘和内存中的位置与大小

节区 = 数据块 + 权限 + 位置信息

作用

  1. 内存管理:节区可以提高操作系统分配内存页的效率

  2. 安全隔离:操作系统要求,只有标记为 EXECUTE 的节区才能运行代码

  3. 加载效率:操作系统只解析节区表,然后按需将节区映射到内存。 节区让 模块化加载、地址随机化、共享库 成为可能。

内存映射:建立“文件某段”和“内存某地址”的对应关系(只是逻辑关联,不占物理内存),就好比你买了电影票,座位已经被你“逻辑上”占用了,但你还坐在家

常见节区含义

节区名用途典型权限逆向意义
.text代码段,存放函数机器码R-X(可读可执行)逆向主战场,分析函数逻辑
.data已初始化全局/静态变量RW-(可读可写)存放配置、密钥、状态
.rdata只读数据(字符串、常量)R--(只读)提取字符串线索,API 名称
.pdata异常处理信息(x86/x64)R--调试、异常恢复
.xdata异常处理数据(x64)R--同上
.tls线程局部存储(TLS)RW-R-XTLS 回调函数常用于反调试
.rsrc资源节(图标、菜单、版本信息)R--提取资源、分析版本、隐藏数据
.reloc重定位表R--ASLR 支持,DLL 常见
.bss未初始化数据(少见)RW-等价于 .data 中未初始化部分
.idata导入表(已废弃,现用 .rdataRW-存放导入函数信息
.edata导出表R--DLL 导出函数列表

虚拟地址

概念

虚拟地址 是程序“以为”自己在使用的内存地址,它并不是真实的物理内存地址,而是由操作系统和 CPU 协同翻译后的“逻辑地址”。

作用

  1. 解决不同程序地址冲突问题
  2. 增强安全性,程序之间不能直接访问对方的内存
  3. 可以让计算机运行大程序

工作原理

CPU中的一个内置的硬件单元(MMU)会查询操作系统维护的一张“地址翻译表”(记录了“哪段虚拟地址 → 哪段物理地址”),并将虚拟地址翻译为物理地址。

ASLR

ASLR(Address Space Layout Randomization,地址空间布局随机化) 是现代操作系统用来防御缓冲区溢出、代码注入等攻击的关键技术。ASLR 是一种安全机制,它让程序每次运行时,代码、数据、堆栈等内存区域的加载地址都是随机的,从而增加攻击者预测目标地址的难度。
在这里插入图片描述

js逆向、安卓逆向教程
m0_61634551的博客
03-17 2379
时,由于安全原因,触发一定条件时浏览器会在正式请求之前自动先发起 OPTIONS 请求,即 CORS 预检请求,服务器若接受该跨域请求,浏览器才继续发起正式请求。Magisk 是一套用于定制 Android 的开源软件,支持高于 Android 5.0 的设备。options 请求就是预检请求,可用于检测服务器允许的 http 方法。]适用于几乎所有安卓模拟器(7+)安装magisk的教程-简单无脑向。:从根检测 / 系统完整性检查中隐藏 Magisk(Shamiko)1.到官网下载9.0模拟器,并安装。
软件逆向
weixin_46546499的博客
10-24 1033
##初识 软件逆向 ## 软件逆向逆向工具包 前置基础 1.C语言基础(慕课,C语言基础入门) 2.汇编语言 常用工具 IDA (逆向分析基本工具) JeB (收费软件,比较全面) OD (新手入门使用工具 ,针对Windows下的动态调试使用,只能调试Windows 32位的程序) windbg (调试操作内核、驱动) GDB (Linux下自带的程序,与OD类似) 逆向工程的介绍 逆向的难点一是绕过软件保护(过保护层):软件保护-编译器静态链接、优化 加壳、加密、混淆、花指令公”
程序原理与逆向
若有战,召必回
01-25 1013
然后等待各个UI程序的每个窗口线程,从这个大消息队列中取出自己窗口可以处理的消息后拿到自己的窗口回调消息队列里处理。这种InitInstance函数就是我们可控的窗口初始化代码,固定在CWinApp:Run上方,恶意软件可以藏在该窗口绑定逻辑类的初始化函数中。由此构建消息映射,可以看到该窗口是系统的help窗口,resourcehacker没有显示出该窗口的ID值。该ID可能是系统分配窗口。也就是主窗口类的虚表。点击任意一个向上滑动可以看到窗口类的虚表函数,因为MFC的消息映射绑定默认是跟在虚表后的。
滴水逆向三期实践5:新增
Rivival_S 的博客
09-29 1397
如图,是新增的大致思路,标红的位置为我们新增的部分,如果在已存在的表后存在可以继续插入表的空间,那么就多加一个表。有了表就要有对应的,于是需要在文件末尾添加新的存放代码或数据。 上述思路具体为: 1、判断是否有足够的空间,可以添加一个表. 判断条件: SizeOfHeader - (DOS + dos stub+ PE标记 + 标准PE头 + 可选PE头 + 已存在表) >= 2个表的大小 为什么要两个表的大小,因为除了根据SizeOfHeader判断头大小外..
滴水逆向三期实践7:合并
Rivival_S 的博客
09-29 908
会不会有极端情况,DOS stub的空间也不足,NT头和表不能抬升,表和第一之间也没有空隙插入新,这种情况如何加入自己的代码呢? 就需要到合并,将全部的(一般文件都有两个以上的)合并成一个,那就可以有空隙增加自己的表了。这里不搞那么复杂了,只做合并,将全部合并成一个后文件仍然可用即可。 合并: 1、拉伸到内存 (这里是真的拉伸到一块内存空间) 2、将第一个的内存大小、文件大小改成一样 VirtualSize =...
逆向工程入门
热门推荐
:-)
10-24 1万+
逆向工程 REVERES 1.逆向工程简介及发展方向 软件逆向工程是一种探究应用程序内部组成结构及工作原理的技 术. 运用逆向分析技术, 窥探程序内部结构, 掌握其工作原理. – 《逆向工程核心原理》 逆向工程,顾名思义,将已经完成的程序经行反编译以找到其内部隐藏细的过程,我们将其称之为逆向工程 第一步,我们将通过各种信息收集工具,对要进行逆向分析的程序进行信息处理 第二步,我们将存在保护的目标程序经行去加密,并且备份其源文件 第三步,将目标程序拖入静态分析或动态调试软件中经行处理(代码审计或debug)
艺恩JS逆向
qyk594760的博客
10-28 820
此网站找数据接口就不用多说了,我们直接进入正文,本文章比较长,写的很详细,一定要坚持看到最后,你会发现这个网站逆向很简单。
滴水逆向三期实践6:扩大
Rivival_S 的博客
09-29 899
扩大: 1、拉伸到内存(只是逻辑上,实际代码操作并不需要这一步),需要注入的代码为 ShellCode 2、分配一块新的空间:SizeOfImage + sizeof ( ShellCode) 3、扩大,修改最后一个的 SizeOfRawData 和 VirtualSize OrgSecSize= max ( SizeOfRawData 或 VirtualSize内存对齐后的值 ) ∵有些初始化数据未全部写入文件,VirtualSize可能比SizeOfRawData...
[滴水逆向三期] 在代码空白添加代码
Bileton的博客
04-27 776
这篇文章主要记录的是根据《滴水逆向3期》中的在代码空白添加代码的操作,进行的实现。
滴水逆向三期实践4:空白
Rivival_S 的博客
09-22 1221
还记得之间无论是文件中还是内存中都会存在一定的空白(空隙)。那么可不可以往这里面注入代码呢? 表 VirtualSize(Misc)是指的真实大小,暂且相信这个值的真实性。(后面有更可靠的方法) 那么如果注入代码(硬编码)长度 加上VirtualSize仍然没有超过(覆盖)下一个文件中的位置 , 即 ( VirtualSize + 即注入代码长度 ) <SizeOfRawData 那么就可以往PE文件中注入代码了。在此之前,还需要知道一点其他的知识 为了效果显著...
天草逆向教程视频 全20
12-29
天草逆向教程,全20课,视频及部分课件,经典不可错过。
第三逆向物流概述.pptx
10-07
逆向物流是供应链管理中的一个重要组成部分,它关注的是产品、材料和信息从消费地返回到起点的流程,目的是为了恢复价值或进行合理的处置。逆向物流的产生主要由两个驱动因素推动:一是产品退回或回收的需求,二是...
第三逆向物流.pptx
09-28
第三逆向物流.pptx
mamba-ssm-2.2.2-cp310-cp310-win-amd64.whl+安装环境+测试脚本.7z
12-15
编译环境: vs2022 win10 x64 anaconda3+python3.10 torch==2.3.1+cu118 cuda11.8.0+cudnn8.9.7 triton==2.1.0 causal_conv1d==1.4.0 mamba==2.2.2 RTX2070显卡 注意编译的whl是不能用于RTX50显卡的,可以用于RTX20-RTX40系列显卡,安装时候尽量和模块一致
toplus1s_calculator_32040_1765656584703.zip
12-15
toplus1s_calculator_32040_1765656584703.zip
【创新无忧】基于多元宇宙优化算法MVO优化相关向量机RVM实现数据多输入单输出回归预测附matlab代码.zip
12-15
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
基于可靠性评估序贯蒙特卡洛模拟法的配电网可靠性评估研究(Matlab代码实现)
12-15
基于可靠性评估序贯蒙特卡洛模拟法的配电网可靠性评估研究(Matlab代码实现)内容概要:本文围绕“基于可靠性评估序贯蒙特卡洛模拟法的配电网可靠性评估研究”,介绍了利用Matlab代码实现配电网可靠性的仿真分析方法。重点采用序贯蒙特卡洛模拟法对配电网进行长时间段的状态抽样与统计,通过模拟系统元件的故障与修复过程,评估配电网的关键可靠性指标,如系统停电频率、停电持续时间、负荷点可靠性等。该方法能够有效处理复杂网络结构与设备时序特性,提升评估精度,适用于含分布式电源、电动汽车等新型负荷接入的现代配电网。文中提供了完整的Matlab实现代码与案例分析,便于复现和扩展应用。; 适合人群:具备电力系统基础知识和Matlab编程能力的高校研究生、科研人员及电力行业技术人员,尤其适合从事配电网规划、运行与可靠性分析相关工作的人员; 使用场景及目标:①掌握序贯蒙特卡洛模拟法在电力系统可靠性评估中的基本原理与实现流程;②学习如何通过Matlab构建配电网仿真模型并进行状态转移模拟;③应用于含新能源接入的复杂配电网可靠性定量评估与优化设计; 阅读建议:建议结合文中提供的Matlab代码逐段调试运行,理解状态抽样、故障判断、修复逻辑及指标统计的具体实现方式,同时可扩展至不同网络结构或加入更多不确定性因素进行深化研究。
基于控制李雅普诺夫-屏障函数(CLBF)与分布式模型预测控制(DMPC)研究(Matlab代码实现)
12-15
基于控制李雅普诺夫-屏障函数(CLBF)与分布式模型预测控制(DMPC)研究(Matlab代码实现)内容概要:本文介绍了基于控制李雅普诺夫-屏障函数(CLBF)与分布式模型预测控制(DMPC)的电力系统优化控制研究,并提供了相应的Matlab代码实现。该研究聚焦于提升含光热电站电力系统的安全性与稳定性,特别计及N-k安全约束,通过结合CLBF的稳定性保证能力和DMPC的分布式协同优化优势,实现对复杂电力系统的高效、可靠控制。文中还展示了多个相关
基于Spring Boot的流浪宠物救助系统的设计与实现源码.zip
最新发布
12-15
基于Spring Boot的流浪宠物救助系统的设计与实现源码.zip
分析头数据 逆向工程
06-18
### 逆向工程中分析头数据的方法 在逆向工程中,分析头(Section Header)是理解二进制文件结构的重要步骤。无论是PE(Portable Executable)格式还是ELF(Executable and Linkable Format)格式,头都...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值