逆向整理-PE

最新推荐文章于 2022-05-04 10:15:39 发布
最新推荐文章于 2022-05-04 10:15:39 发布
阅读量535 收藏 4
点赞数 1
分类专栏: 逆向工程核心原理学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43742794/article/details/104577736
版权

PE相关

PE文件格式

PE文件是windows下的32位可执行文件格式,64位称为PE+或PE32+

文件中使用偏移(offset)内存中使用VA(Virtual Address)来表示位置,VA指的是进程虚拟内存中的绝对地址,RVA(Relative Virtual Address)指从某个基准位置(ImageBase)开始的相对地址,RVA+ImageBase=VA

PE头

在PE头的最前面有IMAGE_DOS_HEADER结构体,即DOS头,大小为64字节,比较重要的成员是e_magic(DOS签名,4D5A=>ASCII值"MZ",位于结构体的第一个),e_lfanew (指示NT头的偏移【根据不同文件拥有可变值】),使用winhex打开windows自带的notepad文件,结构体情况如下(用notepad.exe文件演示)

在这里插入图片描述

文件开始的2个字节为4D5A,e_lfanew值为0000000E(Intel系列的CPU以逆序存储数据,称为小端序标识法)

DOS存根在DOS头下方,目的是让程序可以在DOS环境中运行
在这里插入图片描述

NT头

NT头IMAGE_NT_HEADERS由三个成员组成,大小为F8

第一个成员:签名(Signature)结构体

Signature从0xE0开始
在这里插入图片描述

第二个成员:文件头(File Header)

File Header为表现文件大致属性的文件头,IMAGE_FILE_HEADER结构体,重要成员:

1、Machine:标识兼容的CPU,本程序中值为0x014C,兼容Intel386

2、NumberOfSection:用于指出文件中存在的节区数量,该值一定要大于0,且当定于的节区数量与实际节区不同时,将发生运行错误,本程序中值为0x0003

3、SizeOfOptionalHeader:用于指出最后一个NT头成员的大小,本程序中值为0x00E0

4、Characteristics:用于标识文件的属性,文件是否是可运行的形态,是否为DLL文件等信息,本程序中值为0x010F
在这里插入图片描述

第三个成员:可选头(Optional Header)

Optional Header为IMAGE_OPTIONAL_HEADER32结构体,重要成员:

1、Magic:Magic码为0x10B时,为IMAGE_OPTIONAL_HEADER32结构体,Magic码为0x20B时,为IMAGE_OPTIONAL_HEADER64结构体

2、AddressOfEntryPoint:持有EP的RVA值,指出程序最先执行的代码起始地址

3、ImageBase:指出文件的优先装入地址,一般情况下EXE文件的ImageBase值为0x00400000,DLL文件为0x10000000,执行PE文件时,PE装载器先创建进程,再将文件载入内存,然后把EIP寄存器的值设置为ImageBase+AddressOfEntryPoint

4、SectionAlignment, FileAlignment:FileAlignment指定了节区在磁盘文件中的最小单位&

最低0.47元/天 解锁文章
逆向入门--何为OEP
一座明亮的小塔
04-11 1276
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。再用一个最幼稚的比喻来形容加壳的软件,那个带壳的软件,就是穿了衣服的人,要看它到底是男是女,就把衣服脱掉,不可能哪个生出来就穿了衣服吧,就像软件一样,写出来不可能就带壳的,都是后面加上去的。以上方法,针对不同的壳,至于OEP是什么样子,这个就不好说了,不同的语言写出来的样子就不一样,有高手能总结下OEP的样子吗?基础东西,老鸟绕过,新手要学破解的,必须掌握~~我也在学习中。
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6471
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
逆向——PE导出表分析及应用
young的博客
03-22 1972
逆向——PE导出表分析及应用 文章目录逆向——PE导出表分析及应用前言一、利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。二、pedtior打开本机的kernel32.DLL三、实现两种方式的导出函数覆盖-1四、实现两种方式的导出函数覆盖-2总结 前言 本次实验的目的主要是分析PE文件的导出表结构,分析导出函数VA的获取过程,得出导出表结构;研究导出表的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。 本次用到的实验工具有:OllyDBG、Ped
逆向工程——PE(一)
weixin_33751566的博客
12-06 540
本章参考书《逆向工程核心原理》 什么是PEPE(Protable Executable),是Windows操作系统下使用的可执行文件,因为Windows分32位操作系统和64位操作系统,因此与之相对应有PE(或称为PE32),PE+(或称为PE32+)。这里主要分析PE32。 PE的分类 其中我们遇见的比较多的是exe可执行文件、sys驱动程序文件、dll动...
逆向-PE文件结构
写代码的小阿帆的博客
05-21 1090
首先复习一下PE文件的结构: MS-DOS头 DOS部首有MZ Header和Dos stub两个部分组成,这两部分通常合成为Dos 文件头,其中Dos stub多由编译器自动生成,用户较少关注,PE文件的第一个字节为IMAGE_DOS_HEADER,其结构如下: 其中e_magic和e_lfanew两个字段比较重要,e_magic被称为魔术字,所有能与MS-DOS兼容的可执行文件内,该值都被设置为5A4DH,对应ASCII码为“MZ”,是DOS系统创建者之一 Mark Zbikowski 的缩写。e_
逆向工程之PE文件结构
luguifang2011的专栏
04-17 1486
一、 典型的PE文件格式 1 .1 PE文件布局如下: 文件开头是一个DOS stub程序它非常简单,用于在DOS里运行应用程序,主要是向后兼容,对于逆向而言最重要的部分是一个指向PE头部的偏移量,从文件头开始向后偏移0x3c处就是这个偏移量(DOS头共64个字节最后4个字节为PE头偏移量),指示了从文件开头偏移多少是pe头(下图中0x0100为PE头开始的地方)。 ...
逆向-PE文件基本概念
写代码的小阿帆的博客
05-20 735
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。 PE文件大体结构如下图: PE文件使用平面地址空间,代码数据组合在一起形成一个较大结构,文件的内容被分为不同的区块(secession),区块中包含代码和数据,各区块按页对齐,没有大小限制,每个块在内存有自身的属性,比如其中是否包含代码,是否只读或可写等。 PE文件并非作为单一文件被映射
逆向-PE文件空白区域构造ShellCode代码
qq_48637067的博客
11-03 510
今天,把上周的逆向作业做了。其中的一道题“在PE文件空白区域构造ShellCode代码”花了比较长的时间才写出来。在这里,我整理一下思路。题目如下: 首先,我们要找到MessageBoxA的地址。我选择通过ollydbg来找,通过bp MessageBoxA来定位到哪一行。然后下断点,F9运行,查看具体地址如下: 可知地址为76D710AO,这是我们真正要跳转的地方。 使用PETool打开“飞鸽传书”,由 可算出在文件中入口点为00046000 。在Winhex中往上翻,发现有大量的空白位置可以写入
iOS安全逆向之旅---逆向基本知识概要介绍
尼古拉斯.赵四的博客
07-20 2491
一、应用发布 二、应用加壳 三、应用文件说明(ipa/app) Mach-O 四、OC语言介绍 五、证书说明
逆向工程核心原理》学习笔记(二):PE文件
闵行小鱼塘
12-24 1948
继续学习《逆向工程核心原理》,本篇笔记是第二部分:PE文件格式,包括PE文件、运行时压缩、重定位、UPack、内嵌补丁等内容
upx-3.96-win64.zip
08-05
pyinstaller提示UPX is not available就是缺少了UPX.exe文件 The Ultimate Packer for eXecutables Copyright (c) 1996-2020 Markus Oberhumer, Laszlo Molnar & John Reiser https://upx.github.io UPX is an advanced executable file compressor. UPX will typically reduce the file size of programs and DLLs by around 50%-70%, thus reducing disk space, network load times, download times and other distribution and storage costs. Programs and libraries compressed by UPX are completely self-contained and run exactly as before, with no runtime or memory penalty for most of the supported formats.
如何用程序判定一个PE文件是否加壳
p312011150的博客
06-27 6745
如何用程序判定一个PE文件是否加壳 Lenus2010-6-22 10:41 29100 由于工作原因,时间比较少上论坛来泡泡了。最近由于某些原因时间变得稍微宽裕了些,有空整理整理这几年的一些资料和文档。 感觉这个方向论坛上讨论得并不多,是这个方向没有什么使用价值呢,还是说太简单了大家都不愿意研究?总而言之,我个人感觉这个方向还是一个挺有趣的,所以发上来共享一下。 这篇
Windows可执行文件PE文件)壳的设计过程
个人博客
10-04 4005
PE文件壳的设计过程 标题:pe文件壳的设计过程 作者:baccon(PEDIY论坛),或chenxiang(软件发布者) 时间:2013年10月26日星期六
PE文件结构-导入表详解
wxf明的博客
12-30 1728
PE文件运行时,PE文件将被系统加载进入内存中,此时Windows加载器会定位所有的导入的函数或者将定位到的内容填写到可执行文件的某个位置供使用,这个定位是需要借助于可执行文件的导入表来实现的。导入表中存放了所使用的DLL模块名称及导入函数的名称或者函数序列。 在PE文件中定位到PE头部的可选头的位置,可选头IMAGE_OPTIONAL_HEADER中最后一个成员: IMAGE_DATA_DI...
滴水三期:day34.2-数据目录
Edimade的博客
05-04 1077
一、数据目录概述>二、作业(1.编程输出全部目录项)
PE文件结构剖析---基本结构
For Geek
04-25 1392
PE简介 PE文件衍生于早期建立的COFF文件格式,EXE和DLL文件实际上用的是同一种文件格式,唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。64位Windows格式为PE32+。只是简单的将以前的32位字段扩展到64位。 重要要点 要认识到PE文件不是作为单一内存映射文件被装入内存的。 PE加载器通过遍历PE文件决定哪一部分被映射。 磁盘上的数据结构布局和内存中的数据结构布局是一致...
bugku---逆向--逆向入门
weixin_43980115的博客
03-13 1001
#知识点 ##PE文件:可执行文件,后缀名有exe,dll,ocx,sys,com ##notepad++:类似于winhex,但是他不会出现十六进制,此外,还可以进行文本编译,支持多种语言和语法 ##data:image/png base64问题:目的是将一些小的数据,直接嵌入到网页中,从而不用再从外部文件载入。我们把图像文件的内容直接写在了HTML(即网页中) 文件中,这样做的好处是,节省了一...
Notepad++安装--16进制插件HexEditor
knaha的博客
12-03 1598
1. 安装Notepad++ 汉化免费版 https://www.cr173.com/soft/2907.html 官网 https://notepad-plus-plus.org/downloads/ 2.下载插件 https://github.com/chcg/NPP_HexEdit/releases 找到对应版本下载压缩包(此处感谢网友的分享) 解压后复制.dll文件 3.将插件He...
Notepad++ 16进制编辑功能
热门推荐
07-02 6万+
Notepad++可以编辑PE文件(二进制文件即HEX码),2进制、16进制都可以,通过附加的组件HexEditor即可实现。另外一款Notepad++自带插件TextFX也有这个功能,但实现效果不如Hex Editor。 Hex Editor实现Notepad++16进制编辑功能 Hex Editor使用说明 解压缩后把HexEditor.dll文件复制到安装目录(如C:\Prog
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值