PE文件
关注
分享
扫一扫
文章平均质量分 61
0xNOPE
blog:0xnope.top
nooooooope
展开
-
UPack调试笔记
文章目录解码函数解密函数重建IAT表OPE前言:之前我们有说到,upack压缩过后的文件的文件头部发生了变化,同时正常文件的第一,第三节区也被压缩到了notepad的第二个节区(第一,第三节区的部分空间已经映射了文件的头部)像麻花一样。我们知道正常的PE文件,文件的第一节区应该是代码段,第二节区是数据段。upack压缩后的数据挤在第二节区,UPack解码需要将该节区的部分数据解密到第一节区。...原创 2020-02-23 00:50:02 · 456 阅读 · 0 评论 -
UPack文件分析学习笔记
前言:UPack是一款对PE文件头进行变形的运行时压缩器。由于它独特的压缩方式,使得很多人刚开始分析时一头雾水,无从下手,因为它颠覆了很多人对PE头传统的理解,导致很多人刚开始看到经过它压缩的文件时都认为这些文件或许不能运行,但是事实上是可以的。虽说UPack对PE头进行了变形操作,但是我们仍然能从一些蛛丝马迹当中发现其原理。UPack压缩notepad我们使用upack 0.39.exe对w...原创 2020-02-17 16:56:52 · 1673 阅读 · 0 评论 -
基址重定位
基址重定位概念当向程序的虚拟内存加载PE文件时,文件会被加载到ImageBase所指向的地址。对EXE文件来说,EXE文件会首先加载到内存,每个文件总是使用独立的虚拟地址空间,这就意味着EXE文件不用考虑基址重定位问题;对于DLL文件来说,多个DLL文件使用调用其本身的EXE文件的地址空间,不能保证ImageBase所指向的地址没有被其他DLL文件占用,所以DLL文件当中必须包含重定位信息,...原创 2020-02-06 19:21:46 · 1558 阅读 · 0 评论 -
PE文件格式粗浅认识
前言:最近开始学习PE文件格式,写点笔记做点记录,希望能够对和我一样正在学习PE文件的小伙伴有些启发,生出很棒的点子 ,当然,下面这些只是我这个初学者的一些简单的认识,针对和我一样的初学者,dalao可以绕道,另外,如果大家可以指出我的错误,我当感激不尽!1.PE文件格式图总览2.PE文件格式介绍PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有EX...原创 2020-01-27 19:53:08 · 942 阅读 · 0 评论