发现LordPE一BUG

最新推荐文章于 2023-03-13 19:54:49 发布
原创 最新推荐文章于 2023-03-13 19:54:49 发布 · 350 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#file #测试 #c

 今天发现LordPE的中FLC(File Location Calculator)计算地址的一个BUG。
测试文件,
壳:Krypton 0.5 -> Yado/Lockless
EP:0x00077000
File Offset: 00001000
ImageBase: 00400000
SectionAlignment::00001000
FileAlignment::00000200
NumberOfSections:0005
最后一节信息:
name   v.offset   r.size   r.offset   r.size   flags
_!_!_!_   00077000   00135c00   00001000   00134315   E0000020

当计算文件offset为00077000的VA和RVA,载入文件,打FLC,在Offset框中输入00077000(我要找到的文件偏移量),
计算结果:1 VA,00478000 (计算的不正确)
                    2 RVA,00078000(计算的不正确)
                    3 Additional Information一栏的输出的信息正确。
跑到VA处,不对,被忽悠了。看来只得自已动手计算了。
比较了一下文件偏移00077000在最后一节_!_!_!_ 中,开始计算:
MyVA(0x00077000) = ImageBase + v_Last.offset + (0x00077000 - r_Last.offset) = 0x00400000 + 0x00077000 + (0x0007700 - 0x1000)
       = 0x004ED000
跳到0x004ED000,就是那个我要的VA啦。

不知道为什么LordPE计算结果不对,有时LordPE在计算时会无故挂去,不解。有待研究,学习学习。~~
移动导入表/导入表注入(注入导入表后EXE无法运行的BUG解决方案)
qq_32067613的博客
12-09 391
除了移动导入表和导入表注入的基础以外,重要的记录和解决bug
170624 逆向-失败的脱壳
whklhhhh的博客
06-25 703
1625-5 王子昂 总结《2017年6月24日》 【连续第265天总结】 A. 脱壳前瞻 B. 明天考试于是基本都在复习高数 拽了个?难度的CrackMe试试,拖入PEiD发现次遇到壳 Markus & Laszlo" style="margin:0px; padding:0px; vertical-align:middle; color:rgb(23,150,249); d
LordPE - PE编辑工具
weixin_30566063的博客
08-20 129
LordPE - PE编辑工具 让编程改变世界 Change the world by program 文件列表: LordPE.EXE .............增强版(英文版) LordPE_hh.EXE .............增强版(cao_cong汉化版) \原版\LordPE.EXE .............原版 LordPlug.dll ................
软件漏洞分析技术(
AlanKSorata的博客
03-13 1035
PE (Portable Executable) 是 Win32平台下可执行文件遵守的数据格式。".exe"文件".dll"文件PE 文件格式把可执行文件分成若干个数据节(section),不同的资源被放在不同的节中。典型格式如下:.text 由编译器产生,存放着二进制的机器代码,也是我们反汇编和调试的对象。.data 初始化的数据块,如宏定义、全局变量、静态变量等。.idata 可执行文件所使用的动态链接库等外来函数与文件的信息....
如何汉化个软件
weixin_33924770的博客
06-12 323
作 者: CCDebuger 链 接: http://bbs.pediy.com/showthread.php?t=28321 -------------------------------------------------------------------------------- 看到论坛上经常有人问汉化方面的东西,我今天也来灌水篇,来个汉化扫盲教...
加壳与脱壳理论详解
菜鸟-传奇
05-13 3451
加壳与脱壳理论详解   在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在些计算机软件里也有段专门负责保护软件不被非法修改或反编译的程序。它们般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳般都是在身体外面样理所当然(但后来也出现了所谓的 “ 壳中带籽 ” 的壳)。由于这段程...
PPC/SP/PC汉化教程:如何汉化个软件
weixin_33938733的博客
06-18 451
【以前也想过汉化些软件,但那时候对PE文件都不是很了解,脱壳是什么都不知道,今天看到这篇文章,觉得不错,就转载来看下,以便以后需要用的时候能找到】 其实PC和PPC/SP在汉化的许多地方都是相似的,这里所说的汉化,是指汉化Windows下的PE文件,把其他语言界面的程序翻译为中文界面。要汉化个软件,般的流程是这样: 、检测软件是否加了壳: 汉化个软件前我们首先要做的就是要看看软件是...
脱壳经验谈之----给脱壳新手的建议
why
05-02 1062
学破解时间也不长了,也学了些脱壳的技术,过程中感触颇深。这里给大家分享下,也算是给脱壳新手的个指导。    菜鸟心得,高手飘过~ 当然你要看,我也不反对~~      Attention,Please!!    感谢大家的关注及支持,最近正在准备经验谈的第二篇,结合本篇的内容以及大家的建议并结合实例来进步说明~ 如果有什么建议的话,请大家提出~ 谢谢!!  关于工具     关于OD  所
【恶意代码分析】_第
soldi_er的博客
03-07 1060
文章目录概述第周阅读部分 概述   主要讲解加壳脱壳,每周讲解种壳。   参考教材:可以买来当字典。   操作系统:Windows sp系统,Win7环境可能出现执行失败等问题。 第周   本节目标:了解UPX壳解压缩过程、查找用UPX夹克软件的OEP。   加壳是指:运行时压缩,即对可执行程序资源进行压缩。 加壳是使用算法压缩程序的exe、dll文件,用户执行的只是外壳程序(压缩后的程序)。不同之处在于该压缩文件可独立运行、程序自动隐蔽解压,加壳工具在文件头放段指令告诉CPU怎么解压程序,运行壳
LordPE(win10可用)
最新发布
05-08
LordPE.EXE ................LordPeFix.dll .............SnowFox修正(原来是freecat制作的功能插件,修正LordPE只显示60个进程的bugLordPeFix.dll .............解决 LordPE 在win10下运行崩溃
LordPE1:Win10下强大的文件程序修复工具
在当前的IT行业中,LordPE Deluxe作为款实用的文件程序修改工具,在Windows操作系统,尤其是Windows 10环境下,具有其重要的作用和地位。LordPE Deluxe可以执行多种任务,包括但不限于修复和重建EXE、DLL和dmp文件...
loadpe豪华版2014.7.11中文版发布 - 安全无毒
6. 版本更新:随着LordPE版本的更新,软件可能增加了新功能,提升了性能,修复了旧版中的BUG,或改进了用户界面。因此,使用最新版本的LordPE可以更高效、更安全地完成工作。 7. 压缩包使用:用户通常需要下载...
Sality.q病毒变种之EXE感染方式分析
04-10 1331
/* Sality.q病毒变种之EXE感染方式分析 * 文件名:vcmgcd32.dll * MD5:ae22ca9f11ade8e362254b452cc07f78 * 壳:未加 * By Vincent.peng on 2008.04.08 */调试方法:在Fun为10003FF0的CreateThread断下,然后转EIP到10003FF0处。、感染过程分析:1 保存文件属性、时间。2 设
强悍的PegeFile.pif(下载者+ARP欺骗)分析
08-09 1056
中毒后的现象: 1)下载N多木马, 2)ARP欺骗了,局域网内的其他电脑上网时,都会先访问hxxp://www.369678.cn/ppp.html,下载病毒。 隐藏的有点诡异, 产生的文件: 1) 每个磁盘分区下都有这两个文件:     autorun.inf     PegeFile.pif 2) 其他文件 c:/windows/    TIMHost.exe    NVDispDrv.ex
com/lsass.exe smss.exe(磁碟机病毒) 感染方式之我分析 -- 2008第
01-08 977
    为XXX研究所提供技术支持时截获的样本,com/lsass.exe smss.exe,病毒中文名为磁碟机病毒,貌似很强,此等病毒岂能错过,分析之,不感独乐,遂将感染方式贴上:感染文件类型:(文件全名后三位)1 .htm, tml, .js2 .exe3 .rar, .zipweb文件感染函数:1 按行读取web文件内容2 如果没有找到匹配的:document.write(""); 则在文件
段加密的Javascript风险代码
10-19 815
段加密的Javascript风险代码,利用IE及其插件漏洞传播病毒:var vDA1 = new window["/x44/x61/x74/x65"]()//datevDA1["/x73/x65/x74/x54/x69/x6d/x65"](vDA1["/x67/x65/x74/x54/x69/x6d/x65"]() + 24*60*60*1000)//setTime getTimevar eOT
sysload3.exe 感染型病毒分析
04-06 812
sysload3.exe分析结果:、基本信息MD5:e1c174d72cca73ade18c72772d840794 二、病毒特征 感染型病毒,可通过局域网、软盘、U盘传播。该样本主要感染文件类型为.exe,且文件大小介于10K 和 10M 的文件。三、病毒现象 1 创建自启动项: HKEY_CURRENT_USER/Software/Microsoft/W
Windows自动启动归纳:
04-30 783
Windows自动启动归纳:、Run键值实现 1. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce    HKEY_LOCAL_MACHINE/SOFTWARE/Micro
Windows任务管理器被禁用的解决
05-26 667
1. 修改注册表键值:   修改HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System 子键下的DisableTaskMgr为DWOD 0x000000002. 使用Windows中的组策略:   “开始” --> "运行",输入“gpedit.msc”,选择 [”本地计算机“策略] --> [用户配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值