RVA 相对于PE文件装入地址的偏移位置,也及 偏移量 虚拟地址(VA) = 基地址(ImageBase) +相对虚拟地址(RVA) 文件偏移地址(File Offset/RAW Offset),从PE文件第一个字节开始,起始值0,十六进制工具打开显示的地址就是。 X86平台一般用4kb(1000h...
分类:
其他好文 时间:
2014-08-03 14:58:55
阅读次数:
270
OllyDbg 使用笔记 (四)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
这个RegisterMe程序,运行前和运行后都会有neg窗口。破解目标,去除这个两个窗口。
用OD直接打开这个程序,我们会发现出错。也可能OD会卡死。
因为这个程序的PE文件被故意修改了。
我们先到 选项---> 调试设置 --> 事件 --> 选择系统断点。
图片1
这样用OD打开就不会卡死。
按 alt + M 来到 memory界面,你可以看到“PE文件头”。注意是地址00开头的,如果是7x...
分类:
数据库 时间:
2014-08-02 01:54:42
阅读次数:
235
手动添加PE文件数字签名信息及格式详解图之下...
分类:
其他好文 时间:
2014-07-22 22:39:34
阅读次数:
433
PE文件数字签名信息读取存储及格式详解图 。...
分类:
其他好文 时间:
2014-07-22 22:39:34
阅读次数:
248
一、EXE文件概念
EXE File英文全名executable file ,译作可执行文件,可移植可执行 (PE) 文件格式的文件,它可以加载到内存中,并由操作系统加载程序执行,是可在操作系统存储空间中浮动定位的可执行程序。如记事本程序notepad.exe ,可以用来编辑文档,如:测试.txt双击打开notepad.exe记事本程序来进行编辑处理。
二、EXE文件结构...
分类:
其他好文 时间:
2014-07-12 21:45:36
阅读次数:
267
API拦截修改PE文件导入段中的导入函数地址 为 新的函数地址这涉及PE文件格式中的导入表和IAT,PE文件中每个隐式链接的DLL对应一个IMAGE_IMPORT_DESCRIPTOR描述符结构,而每个IMAGE_IMPORT_DESCRIPTOR结构中的FirstThunk指向一个IMAGE_TH...
书接上回[第二十四回:认识元数据和IL(上)],我们对PE文件、程序集、托管模块,这些概念与元数据、IL的关系进行了必要的铺垫,同时顺便熟悉了以ILDASM工具进行反编译的基本方法认知,下面是时候来了解什么是元数据,什么是IL这个话题了,我们继续。很早就有说说Metadata(元数据)和IL(中间语...
分类:
其他好文 时间:
2014-07-07 00:58:21
阅读次数:
350
公司要做一个项目,跟MP4有点关系,到网上找了规范文档看了看,理解还是不够深入。干脆花点时间做一个Parser,取名FileExpert,目前只支持解析ISO_IEC_14496-12的文件格式。取名成FileExpert的原因是因为想把它做成一个比较通用的框架,以后可以用于解析其他格式的文件。(以前曾经想过做一个小工具,解析一下PE文件格式。)
MP4文件就是一个个的box组合成的,b...
分类:
其他好文 时间:
2014-07-01 11:34:14
阅读次数:
148
本题目以二进制文件形式给出一个 PE 文件的三个
section,要求将其加上合适的文件头,拼接为一个可执行的 PE 文件。同时为菜单追加菜单资源,并添加菜单处理函数。本题目要求对 PE
文件格式有比较好的了解,也要对 PE 文件的导入表,资源表有一定了解。在求解过程中采用了以下方法,对 PE 文件...
分类:
其他好文 时间:
2014-06-08 21:37:56
阅读次数:
606
解析程序自己的附加数据,将附加数据写入文件中。
主要是解析PE文件头,定位到overlay的地方,写入文件。常应用的场景是在crackme中,crackme自身有一段加密过的附加数据,在crackme运行的过程中解析自己的附加数据,然后解密这段数据。。。。
代码留存:
//解析自己的PE文件
TCHAR szModuleFile[MAX_PATH] = {0};
::GetMod...
分类:
其他好文 时间:
2014-06-05 03:01:16
阅读次数:
438
