PE 中漫步—“白眉”指令追踪技术与 Paimei程序异常发生的位置通常离漏洞函数很远,当溢出发生时,栈帧往往也会遭到破坏,给动态调试制造很大的困难。指令追踪最大限度地结合了动态分析和静态分析的做点,能够迅速定位漏洞。其工作流程如下:1 将目标 PE 文件反汇编,按照指令块记录下来(通常用跳转指令....
分类:
其他好文 时间:
2014-11-24 16:42:08
阅读次数:
207
1. 导出lib文件的函数符号(symbols)
2.查看PE文件是32 bit还是64 bit.
3.查看PE文件依赖,类似于Dependency Walker...
首先写在前面,这篇文章源于个人的研究和探索,由于.NET有自己的反射机制,可以清楚的将源码反射出来,这样你的软件就很容易被破解,当然这篇文章不会说怎么样保护你的软件不被破解,相反是借用一个软件来讲述是怎么被攻破的,也会有人说这是一篇破文,我其实这篇文章已经写了很长时间了,不知道以什么形式发出来,因为...
分类:
Web程序 时间:
2014-11-10 15:07:52
阅读次数:
336
PE Explorer V1.99 R5 绿色汉化特别版_强大的可视化汉化集成工具 功能极为强大的可视化汉化集成工具,可直接浏览、修改软件资源,包括菜单、对话框、字符串表等; 另外,还具备有 W32DASM 软件的反编译能力和PEditor 软件的 PE 文件头编辑功能,可以更容易的分析源代码,修复...
分类:
其他好文 时间:
2014-10-29 23:30:04
阅读次数:
240
这里我们不讲普通程序的PE文件结构,我们只针对当前.NET程序进行分析,了解普通的PE文件结构后,我们会知道.NET的PE结构不同之处在于在PE头中的IMAGE_OPTIONAL_HEARDER这个结构中的数据目录DataDirectory这个包括了映像文件中的CLR头的RVA和大小。这就使我们能够...
分类:
编程语言 时间:
2014-10-26 22:49:42
阅读次数:
460
不应该拿到一个ppt就着手去分析,其实我并没有直接去分析,我还是看了一下它里面的东西的,也跑了一下,看了一下它的执行效果,但是由于经验不足,我没有认出那两个可疑的东西,我真的看了,而且还用16进制编辑工具看了,但是我只看了头部,不是PE文件,也不是DOS程序,不是可执行的二进制文件,然后我就放弃了,...
分类:
其他好文 时间:
2014-10-21 21:05:31
阅读次数:
220
反射用来获取程序集及其相关信息。反射发出是在运行时动态构造元数据和MSIL语言还可生产PE文件。使用反射发出的步骤基本是固定的 ,用HELLO WORD 做开始 public void BuildeMthod() { //1.构建程序集 ...
分类:
其他好文 时间:
2014-10-13 11:36:49
阅读次数:
245
17.1.4 节表和节从排列位置来看,PE文件在DOS部分和PE文件头部分以后就是节表和多个不同的节(如图17.1中的③和④所示)。要理解什么是节表,什么是节以及它们之间的关系,那就首先要了解Windows是如何将PE文件映射到内存的。1. PE文件到内存的映射在执行一个PE文件的时候,Window...
分类:
其他好文 时间:
2014-10-09 19:18:27
阅读次数:
5134
PE(Portable Execute) 文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任 何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名...
分类:
其他好文 时间:
2014-10-09 14:23:34
阅读次数:
177
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
基址重定位
链接器生成一个PE文件时,它会假设程序被装入时使用的默认ImageBase基地址(VC默认exe基地址00400000h,dll基地址10000000h),并且会把代码中所有指令中用到的地址都使用默认的基地址(例如 程序代码中 push 10001000,就是把10000000h当做了基地址,把push 10001000写入到文件中)。如果一个exe程序中一个dll装载时的地址与其它dll地址发生冲突(因为windo...
分类:
其他好文 时间:
2014-10-07 03:11:03
阅读次数:
313
