PE文件格式详解,第三讲,可选头文件格式,以及节表 PE文件格式详解,第三讲,可选头文件格式,以及节表
来源:互联网 发布:淘宝如何找代理商 编辑:程序博客网 时间:2024/06/06 05:35
一丶可选头结构以及作用
typedef struct _IMAGE_OPTIONAL_HEADER {
WORD Magic; /*机器型号,判断是PE是32位还是64位*/ BYTE MajorLinkerVersion; /*连接器版本号高版本*/ BYTE MinorLinkerVersion; /*连接器版本号低版本,组合起来就是 5.12 其中5是高版本,C是低版本*/ DWORD SizeOfCode; /*代码节的总大小(512为一个磁盘扇区)*/ DWORD SizeOfInitializedData; /*初始化数据的节的总大小,也就是.data*/ DWORD SizeOfUninitializedData; /*未初始化数据的节的大小,也就是 .data ? */ DWORD AddressOfEntryPoint; /*程序执行入口(OEP) RVA(相对偏移)*/ DWORD BaseOfCode; /*代码的节的起始RVA(相对偏移)也就是代码区的偏移,偏移+模块首地址定位代码区*/ DWORD BaseOfData; /*数据结的起始偏移(RVA),同上*/ DWORD ImageBase; /*程序的建议模块基址(意思就是说作参考用的,模块地址在哪里)*/
DWORD SectionAlignment; /*内存中的节对齐*/ DWORD FileAlignment; /*文件中的节对齐*/ WORD MajorOperatingSystemVersion; /*操作系统版本号高位*/ WORD MinorOperatingSystemVersion; /*操作系统版本号低位*/ WORD MajorImageVersion; /*PE版本号高位*/ WORD MinorImageVersion; /*PE版本号低位*/ WORD MajorSubsystemVersion; /*子系统版本号高位*/ WORD MinorSubsystemVersion; /*子系统版本号低位*/ DWORD Win32VersionValue; /*32位系统版本号值,注意只能修改为4 5 6表示操作系统支持nt4.0 以上,5的话依次类推*/ DWORD SizeOfImage; /*整个程序在内存中占用的空间(PE映尺寸)*/ DWORD SizeOfHeaders; /*所有头(头的结构体大小)+节表的大小*/ DWORD CheckSum; /*校验和,对于驱动程序,可能会使用*/ WORD Subsystem; /*文件的子系统 :重要*/ WORD DllCharacteristics; /*DLL文件属性,也可以成为特性,可能DLL文件可以当做驱动程序使用*/ DWORD SizeOfStackReserve; /*预留的栈的大小*/ DWORD SizeOfStackCommit; /*立即申请的栈的大小(分页为单位)*/ DWORD SizeOfHeapReserve; /*预留的堆空间大小*/ DWORD SizeOfHeapCommit; /*立即申请的堆的空间的大小*/ DWORD LoaderFlags; /*与调试有关*/ DWORD NumberOfRvaAndSizes; /*下面的成员,数据目录结构的项目数量*/ IMAGE_DATA_DIRECTORY DataDirectory[16];/*数据目录,默认16个,16是宏,这里方便直接写成16*/} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
需要注意的成员:
1.PE类型
这个有宏定义了
#define IMAGE_NT_OPTIONAL_HDR32_MAGIC 0x10b /*32位PE*/#define IMAGE_NT_OPTIONAL_HDR64_MAGIC 0x20b /*64位PE*/#define IMAGE_ROM_OPTIONAL_HDR_MAGIC 0x107 /*其它,单片机*/
2丶.OEP,程序执行入口位置.
我们利用昨天写的程序,可以完成一个反调试.
思路:
1.修改OEP偏移,置为0位置处(也就是MZ的位置)
2.在MZ位置后面添加我们自己的代码
3.添加完成之后,继续跳到以前OEP的位置.
首先,看PE文件的值,OEP的偏移位置是00001008偏移,那么OD调试,看下位置在哪里.
我们知道了入口偏移是00401008位置,那么我们就知道了模块首地址是00400000
公式 00401008 - 1008 = 00400000 因为我们知道1008是相对于模块地址来的所以可以求出模块地址,我们跳转过去
可以看出,前边正好是4D5A,那么我们可以修改一下,添加自己的代码,首先4D5A正好是汇编代码
那么我们可以去平栈,然后跳转到我们以前的OEP位置.
修改成下边那样
首先,我们以前讲DOS头的时候说过,如果这个EXE文件运行在32位系统下,那么DOS头中就地一个和最后一个成员有用,那么后面我们随便修改.
上面代码很简单,首先栈平衡,然后跳转到我们以前代码执行位置.
文件中(PE)我们把后面的二进制都修改为我们的代码
入后偏移(RVA)修改为0000000
运行我们的程序,和调试我们的程序
运行程序:
可以正常运行
调试程序:
阅读全文
0 0
- PE文件格式详解,第三讲,可选头文件格式,以及节表 PE文件格式详解,第三讲,可选头文件格式,以及节表
- PE文件格式详解(1)
- PE文件格式详解(2)
- PE文件格式详解(3)
- PE文件格式详解(4)
- PE文件格式详解(5)
- PE文件格式详解(6)
- PE文件格式详解(7)
- PE文件格式详解(一)
- PE文件格式详解(二)
- PE文件格式详解(三)
- PE文件格式详解(四)
- PE文件格式详解(五)
- PE文件格式详解(六)
- PE文件格式详解(七)
- PE文件格式详解(上)
- PE文件格式详解(下)
- PE文件格式详解(上)
- 数组排序
- Python网页测试库selenium,动态网页抓取
- html4中好用的冷门标签
- javascript(js)创建对象的模式与继承的几种方式
- jquery中设置 radio
- PE文件格式详解,第三讲,可选头文件格式,以及节表 PE文件格式详解,第三讲,可选头文件格式,以及节表
- hdu1878 判断一个无向图是否存在欧拉回路模板
- WEB服务器、应用程序服务器、HTTP服务器区别
- PHP的魔术方法
- Entity Framework Code First实现乐观并发
- 熟练使用thymeleaf
- linux网络基础
- QT5每日一学(一)下载与安装
- png自动化压缩工具