PE结构4-区段与代码类型.doc

《PE结构4-区段与代码类型.doc》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、甲壳虫免杀VIP教程vip.jksing.com专业的免杀技术培训基地我们的口号：绝对不一样的免杀教程！绝对不一样的实战体验！清晰的思路!细致全面的讲解！让你感到免杀原来可以这么简单！动画教程只是起到技术交流作用.请大家不用利用此方法对国内的网络做破坏.国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站无关.--------------------------------------------------------------------【免杀PE结构班】制作：Just41（carrieyz）第四节【PE文件常见区段及其代码类型】一、区段表的结构PE文件格式中

2、，所有的区段信息位于可选PE头之后。每个区段信息为40个字节长，并且没有任何填充信息。区段信息被定义为以下的结构：学名：免杀技术说明大小LOADPEName：区段名称,如".text"[8h]SizeOfRawData：RVA偏移大小[4h]VSizeVirtualAddress：区段RVA起始地址[4h]VOffsetPointerToRawData：区段物理偏移大小（偏移量）[4h]RSizePhysicalAddress：区段物理起始地址[4h]ROffsetVirtualSize：真实长度[4h]PointerToRelocations：重定位的偏移[4h]PointerT

3、oLinenumbers：行号表的偏移[4h]NumberOfRelocations：重定位项数目[2h]NumberOfLinenumbers：行号表的数目[2h]Characteristics：区段属性[4h]标志计算方式：区段表的文件偏移地址=PE头的文件偏移地址+14h+可选PE头大小+1首先从0X3Ch处得到PE头的文件偏移地址，然后由PE头的文件偏移地址+14h得到可选PE头大小，再将上面三个数据相加再+1就得到区段表的文件偏移地址了。VSize的大小只是效验下是否跨越下一个节了,或者是否超出了SizeOfImage,如果出现越界问题,提示非法32位应用程序,否则的话,

4、它的值没有意义,节的大小不是由它决定的......对非最后一个节,按节间VOffset之差,最后一节用SizeOfImage-VOffset。二、PE文件常见区段及其代码类型一个WindowsNT的应用程序典型地拥有9个预定义段，它们是：常用区段名区段类型区段说明.text代码区段汇编语言.bss未初始化区段附加数据（某些配置信息）.rdata只读数据区段输入、输出表.data全局变量数据区段字符串.rsrc资源区段资源信息.edata只读数据区段输出表.idata只读数据区段输入表.pdata只读数据区段.debug调试区段----------------------------

5、-------------------------------------.code.reloc重定位表区段重定位表其他加壳加密软件例子.upxUPX加壳.vmpVMP加密其中资源区段.rsrc（资源工具：Resource Hacker，FreeRes和eXeScope只识别其区段名）是判断某些木马是否需要导出资源再进行免杀的关键。今后课程安排如下：免杀之PE结构《认识输入表并手动修改》《认识输出表并手动修改》《认识重定位表并手动修改》《认识资源表并学会导入导出》免杀之免杀方法《免杀前的特征码归类》《汇编下修改特征码方法(N种)》《字符串特征码修改方法》《输入表特征码免杀方法》作业

6、：1）假如一个PE文件的0x3C处为40000000，0x54处为E8008E81，那么其区段表起始偏移地址为多少？2）以下区段名不符合要求的是：1、.code2、data_image3、加花区段4、.1342175、.PE输入表6、[][][][]7、JKS不错8、.data[][][][]3）某个PE文件的区段有2个，区段名分别是.rsrc和.reloc。请问，该区段有重定位表和可导出资源吗？为什么？参考答案请翻页参考答案：1）0x13C。2）2、5、83）不确定是否有重定位表和可导出资源，因为尽管一般情况下.rsrc表示为资源区段，.reloc表示为重定位区段，但是其区段名并

7、不能代表该区段的属性，区段的属性还是由其代码的性质决定的。