返回
PE-文件格式启发式学习.doc

PE-文件格式启发式学习.doc

ID:57891561

大小:91.50 KB

页数:17页

时间:2020-09-02

PE-文件格式启发式学习.doc_第1页
PE-文件格式启发式学习.doc_第2页
PE-文件格式启发式学习.doc_第3页
PE-文件格式启发式学习.doc_第4页
PE-文件格式启发式学习.doc_第5页
资源描述:

《PE-文件格式启发式学习.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、PE 文件格式启发式学习问:1.1我知道程序中最重要的段是text段,请告诉我text 段在哪?答:1.1text 段在文件偏移0x400处,大小0x200字节,该区可运行,可读取,包含代码。该区在内存中RVA 0x1000处,大小0x1000.问:1.2我用urtraedit 打开hello.exe 看了,在0x400处-0x600处,大部分都是0,为什么这样呢。答:1.2pe 格式大部分文件都是这样,这是对齐所要求的,文件对齐为0x200, 内存对齐为0x1000你可以在NT_Option_Header 的Section_

2、Alignment, File_Alignment 域中看到这两个数据。//// Optional header format.//typedef struct _IMAGE_OPTIONAL_HEADER {    //    // Standard fields.    //    WORD    Magic;    BYTE    MajorLinkerVersion;    BYTE    MinorLinkerVersion;    DWORD   SizeOfCode;    DWORD   SizeOfIniti

3、alizedData;    DWORD   SizeOfUninitializedData;    DWORD   AddressOfEntryPoint;    DWORD   BaseOfCode;    DWORD   BaseOfData;    //    // NT additional fields.    //    DWORD   ImageBase;    DWORD   SectionAlignment;    DWORD   FileAlignment;    WORD    MajorOperati

4、ngSystemVersion;    WORD    MinorOperatingSystemVersion;    WORD    MajorImageVersion;    WORD    MinorImageVersion;    WORD    MajorSubsystemVersion;    WORD    MinorSubsystemVersion;    DWORD   Win32VersionValue;    DWORD   SizeOfImage;    DWORD   SizeOfHeaders;  

5、  DWORD   CheckSum;    WORD    Subsystem;    WORD    DllCharacteristics;    DWORD   SizeOfStackReserve;    DWORD   SizeOfStackCommit;    DWORD   SizeOfHeapReserve;    DWORD   SizeOfHeapCommit;    DWORD   LoaderFlags;z    DWORD   NumberOfRvaAndSizes;    IMAGE_DATA_DI

6、RECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;问:1.3慢点,别一下子贴那么多东西,我还没有找到 _IMAGE_OPTIONAL_HEADER 的位置呢,告诉我怎样找答:1.3贴上那个_IMAGE_OPTIONAL_HEADER结构好说话,它的位置紧跟在 MAGE_FILE_HEADER 之后告诉你个小技巧,那个Magic对NT x86来讲总是010B,在头

7、文件找到那个010b,就是IMAGE_OPTIONAL_HEADER32 结构的地址。问:1.4问题越来越多了。_IMAGE_OPTIONAL_HEADER 还没有说清呢,又出来一个IMAGE_FILE_HEADER。先不管IMAGE_FILE_HEADER先按你的小技巧,在头部找到010b, 因为是little endial, 在ultraedit 中要找0b 01.好,找到了,离那个 50 45 00 00 (ascii PE)相距不远,在偏移D8处,按你所说SectionAlignment和FileAlignment 应

8、该在结构第9个,第10个DWORD 处。好,找到了,在f8处有00001000, FC处为00 00 02 00 (我已经考虑了endian,以后不用提醒了)。答:1.4呀,进步不小吗?这样一下子你就把IMAGE_OPTIONAL_HEADER32 中所有的东西都找出来了。问

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。