2. 程式人生 > >OD 實驗 - 對 PE 結構的簡單分析

OD 實驗 - 對 PE 結構的簡單分析

阿新 發佈:2018-09-04
圖片 nds 兩個 add 復制 bubuko ctr 雙擊 尺寸

載入程序,按 Alt+M 查看內存空間

技術分享圖片

雙擊進入程序的 PE 頭

技術分享圖片

這些為 DOS 環境下才會運行的

技術分享圖片

這個執行 PE 的地址,PE 結構的偏移地址為 C0

找到這個地址

技術分享圖片

以 PE 開頭

技術分享圖片

SizeOfCode 為代碼段的大小

SizeOfInitializedData 為所有含已初始化數據的塊的大小

這兩個值明顯太大了,可能被惡意修改過了,可以把他們修改一下

右鍵 -> 二進制 -> 編輯,快捷鍵為 Ctrl+E

或者右鍵 -> 修改整數

SizeOfCode 可能為 400,SizeOfInitializedData 可能為 A00

技術分享圖片

BaseOfCode 代碼段的起始偏移地址,此處應該為 1000

BaseOfData 數據段的起始偏移地址,此處應該為 2000

右鍵進行修改

技術分享圖片

用 VC 編譯出來的程序,ImageBase 一般都為 400000

技術分享圖片

NumberOfRvaAndSizes 為數據目錄表的尺寸,這個值默認為 0x10

技術分享圖片

該程序沒有輸出表,Export Table Address 應該改為 0,Export Table Size 也為 0

接下來保存文件

從最初修改的地址開始

技術分享圖片

為 004000DC

技術分享圖片

按 Ctrl+G 跟隨表達式

技術分享圖片

輸入地址,點擊 OK

技術分享圖片

適量選取一段

技術分享圖片

右鍵 -> 復制到可執行文件

技術分享圖片

右鍵 -> 保存文件

OD 實驗 - 對 PE 結構的簡單分析

相關推薦

OD 實驗 - PE 結構簡單分析

圖片 nds 兩個 add 復制 bubuko ctr 雙擊 尺寸 載入程序,按 Alt+M 查看內存空間 雙擊進入程序的 PE 頭 這些為 DOS 環境下才會運行的 這個執行 PE 的地址,PE 結構的偏移地址為 C0 找到這個地址 以 PE 開

android開發中Settings結構簡單分析

Settings介面結構簡單分析 Setting是android系統很重要的模組,這個模組並不是很複雜,這部分也一直在看,很多時候都是在看某個具體的選項,比如WLAN,藍芽這樣具體的原始碼,但是對於主介面的佈局以及結構並不清楚。 在使用Hierarchy Vie

OD 實驗(二十一) - 反除錯程式的逆向分析(二)

程式: 執行程式 點選“Verify” 關閉該程式,啟動 OD 再執行程式 逆向: 用 OD 載入程式 按 F8 往下走 執行完這個 call 指令就彈出了對話方塊 這個 call 指令呼叫了 DialogBoxParam 函式建立模態對話方塊 如果步入該函式的話,

OD 實驗(二十) - 反除錯程式的逆向分析(一)

程式: Keyfile.dat 裡的內容 該檔案中要至少有 9 個 ReverseMe.A: 執行程式 用 OD 開啟該程式,執行 彈出的是錯誤的對話方塊 該程式發現 OD 對它的除錯,所以該程式對 OD 進行反除錯 重新載入程式,按 F8 往下走 這個迴圈是對 Keyf

實驗吧 該題不簡單 OD詳解 (flag 和分析內部演算法)

這個題是偶然在實驗吧想起來做的題  本來打算的是分析一晚上的 但是發現經過這一段時間的學習 自己進步很大 然後在半小時的時候就做出來了這一道題 然後 分享給大家  實驗吧原題網址   這道題其實想做出來不難 但是分析演算法還是需要一些基礎的   點開就是這個樣子 隨便

FFmpeg源代碼簡單分析:常見結構體的初始化和銷毀(AVFormatContext,AVFrame等)

new init _array border 代碼 alloc ecc .com VC 結構體 初始化 銷毀 AVFormatContext avformat_alloc_context() avfo

OD 實驗(十五) - 一個程序的逆向

write 不顯示 一次 空白 測試 過程 條件 下一個 找到 程序: 打開程序 出現一個 NAG 窗口 這是主界面 點擊 Exit 程序出現 NAG 窗口,然後退出 用 PEiD 看一下 是用 VC++ 6.0 寫的程序 逆向: 用

OD 實驗(十六) - 從對話框入手程序的逆向

gpa 右鍵 入棧 template ESS 接下來 步驟 技術 img 對話框: 對話框從類型上分為兩類:modal 對話框和 modeless 對話框,就是模態對話框和非模態對話框,也有叫成模式和非模式 模態對話框不允許用戶在不同窗口間進行切換,非模態對話框允許用戶

Java簡單實驗--關於課後提到的java重載函數的簡單分析

-- bsp png ron inf 定義 方法返回值 http 分享 根據這一小段代碼,獲得了以下的測試截圖: 簡單分析:根據輸出結果,判斷這段代碼用到了兩個不同的函數方法,輸出的不止有double類型的數,還有整型的數。 又根據類中的定義情況,square是根據

R_Studio(關聯)簡單資料進行關聯分析

      對資料menu_orders.txt檔案資料進行關聯分析        (1)使支援度為0.4、頻繁項集元素個數大於等於2,檢視關聯規則數量的變化,輸出與a相關的規則 #匯入arules包 install.packages("arul

mybatis實驗(一)——資料庫進行簡單的增、刪、改、查

新建動態web工程,在src下建立Configuration.xml 複製mybatis框架所需的架包,到WEB-INF\lib目錄下 配置Configuration.xml,設定mybatis的資料來源的基礎配置。初始配置程式碼如下: <?xml version

NAT-T技術原理簡單分析及應用實驗解析

1.首先我們就IPSEC VPN的部署場景來做簡要分析: 場景1:如圖所示,企業的總部與分支機構分別架設了VPN裝置,分支機構的需求是同步企業內部的業務資料(屬企業內部的機密資訊),那麼就必須確保資料在公網上是安全包密傳遞的。這種情況下我們可以直接用IPSEC

FFmpeg原始碼簡單分析結構體成員管理系統-AVClass

=====================================================FFmpeg的庫函式原始碼分析文章列表:【架構圖】【通用】【解碼】【編碼】【其它】【指令碼】【H.264】================================

資料結構學習之路(一)C語言陣列的簡單實現

以下的程式只是在觀看郝斌老師講解的(C語言資料結構)之後自己做得簡單練習。# include <stdio.h> # include <stdlib.h> typedef struct MyArray{ int * pBase; //存放陣列第一個

FFmpeg原始碼簡單分析:常見結構體的初始化和銷燬(AVFormatContext,AVFrame等)

=====================================================FFmpeg的庫函式原始碼分析文章列表:【架構圖】【通用】【解碼】【編碼】【其它】【指令碼】【H.264】================================

Tika解析非結構文件處理過程的簡單分析

     字首時間在使用Jackrabbit作非結構化內容的存取,當問到當存取一個word文件時,jackrabbit能不能對word文件裡面的內容作全文檢索呢。回去查了一下相關的文件,是可以的,而且用的是一個叫Tika的工具。     Tika原先是一個Lucene的子

希拉里洩露郵件進行簡單分析的結果

這次爆出的郵件門十分勁爆啊,不過看了看郵件內容,如果進行NLP處理的話太過繁雜,所以選擇了對收發郵箱間的關係進行簡單分析。原文發在知乎上,這裡就直接搬過來了。分析的程式碼放在github上 1.首先來看收發郵件數 在6000封郵件中,涉及了600個左右的郵箱

[PE結構分析] 5.IMAGE_OPTIONAL_HEADER

pre addition 低版本 debug 一段 nat 模塊 gis bject 結構體源代碼如下: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields.

哪吒票房逼近30億,從豆瓣短評簡單分析人們哪吒的態度

目錄 前言 分析 具體步驟 登入 爬取與儲存 視覺化分析 結語   前言 暑期檔電影慘淡,但隨著哪吒爆紅開拓了新局面。這也是國產動畫的首次爆紅。在哪吒剛出,筆者以為最多10億就算不錯的了。沒想過僅過了幾天就破了10億。接著頭條又突破20億--------目前11天27億

海量分頁的簡單分析

elk mic als emc usb won tm4 pop iap 此文僅個人理解,不到之處望指出 提出:easyui的datagrid組件有海量分頁的內容,通過查詢數據庫的所有數據在表格進行分頁瀏覽,因為數據量多,也叫海量分頁, 網