码迷,mamicode.com
首页 > 其他好文 > 详细

exe取消动态基址

时间:2019-08-30 17:26:37      阅读:119      评论:0      收藏:0      [点我收藏+]

标签:time   机器   code   系统文件   str   定义   com   agg   off   

动态基址开启后,在动态调试是想要和ida静态分析中的地址对应还要进行一步计算,取消动态基址便可以剩下很多时间。

只要修改pe文件头中的Characteristics低位置1

1 typedef struct _IMAGE_FILE_HEADER {
2   WORD  Machine;                    **        机器号     相对该结构的偏移0x00**
3   WORD  NumberOfSections;           **        节区数量   相对该结构的偏移0x02**
4   DWORD TimeDateStamp;              **        时间戳     相对该结构的偏移0x04**
5   DWORD PointerToSymbolTable;       **        符号表偏移  相对该结构的偏移0x08**
6   DWORD NumberOfSymbols;            **        符号表数量  相对该结构的偏移0x0C**
7   WORD  SizeOfOptionalHeader;       **        可选头大小  相对该结构的偏移0x10**
8   WORD  Characteristics;            **        PE文件属性  相对该结构的偏移0x12**
9 } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

Characteristics可以是下面一个或者多个值的和

宏定义数值描述
IMAGE_FILE_RELOCS_STRIPPED 0x0001 从文件中删除了重定位信息
IMAGE_FILE_EXECUTABLE_IMAGE 0x0002 该文件是可执行的
IMAGE_FILE_LINE_NUMS_STRIPPED 0x0004 COFF行号从文件中删除
IMAGE_FILE_LOCAL_SYMS_STRIPPED 0x0008 COFF符号表条目从文件中删除
IMAGE_FILE_AGGRESIVE_WS_TRIM 0x0010 废弃
IMAGE_FILE_LARGE_ADDRESS_AWARE 0x0020 该应用程序可以处理大于2GB的地址
IMAGE_FILE_BYTES_REVERSED_LO 0x0080 废弃
IMAGE_FILE_32BIT_MACHINE 0x0100 32位机器
IMAGE_FILE_DEBUG_STRIPPED 0x0200 调试信息已删除并单独存储在另一个文件中
IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP 0x0400 如果在移动介质中,拷到交换文件中运行
IMAGE_FILE_NET_RUN_FROM_SWAP 0x0800 如果在网络中,拷到交换文件中运行
IMAGE_FILE_SYSTEM 0x1000 该文件是一个系统文件
IMAGE_FILE_DLL 0x2000 该文件是一个文件是一个动态链接库
IMAGE_FILE_UP_SYSTEM_ONLY 0x4000 该文件应仅在单处理器计算机上运行
IMAGE_FILE_BYTES_REVERSED_HI 0x8000 废弃

pe修改的工具很多,我用的peid

技术图片

 

exe取消动态基址

标签:time   机器   code   系统文件   str   定义   com   agg   off   

原文地址:https://www.cnblogs.com/DirWang/p/11435990.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!