首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
经典问答
发新帖
0
0
高手们帮忙看下*.exe不是有效win32程序的问题
发表于: 2009-12-5 18:41
3399
高手们帮忙看下*.exe不是有效win32程序的问题
skypismire
1
2009-12-5 18:41
3399
自己学着写一个PE文件感染的程序,功能很简单,增加一个节表,增加一个节区,把感染代码拷贝到新节区。PE文件头中,我仅仅修改了被感染的exe文件的IMAGE_NT_HEADERS结构中的AddressOfEntryPoint,SizeOfImage和NumberOfSections三个参数。完成参数修改,增加节表,节区后的exe文件不能被windows执行,显示*.exe不是有效win32程序。用PE查看器查看PE头的相关参数,感觉都很正常。我不知道PE文件头的哪些结构没有被正确设置,还望高手们指点一二。
感染后的exe文件,见附件,
[注意]APP应用上架合规检测服务,协助应用顺利上架!
上传的附件:
MemInfo.rar
(2.38kb,14次下载)
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
6
)
tbc
雪 币:
177
活跃值:
(40)
能力值:
( LV2,RANK:10 )
在线值:
发帖
25
回帖
123
粉丝
0
关注
私信
tbc
2
楼
修改了一下,但没敢打开。
不知道行不行。
上传的附件:
MemInfo.rar
(2.39kb,6次下载)
2009-12-5 20:19
0
风随雨行
雪 币:
2513
活跃值:
(640)
能力值:
( LV4,RANK:50 )
在线值:
发帖
3
回帖
604
粉丝
1
关注
私信
风随雨行
1
3
楼
节表里节的虚拟大小设置有问题
2009-12-5 20:20
0
怀特迈恩
雪 币:
444
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
14
回帖
242
粉丝
0
关注
私信
怀特迈恩
4
楼
F了楼主,你自己用WinHex看下该EXE文件。最后一个区块居然没有对齐。
不同意3楼的说法。相反,应该是节表里的SizeOfRawData(该块在磁盘上所占的大小)显示最后一个区块在磁盘上有600h的空间。但是实际上只有5D9h的空间。(后面的00没有填充)
楼主请在(1600h+5D9h处)开始填充(600h-5D9h)字节的00。即让最后一个区块磁盘大小为600h.
最后一个区块的代码肯定不是楼主写的,不过应该不是病毒(如果让我写,那些明文的API函数名绝对会被加密)。
2009-12-5 22:38
0
怀特迈恩
雪 币:
444
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
14
回帖
242
粉丝
0
关注
私信
怀特迈恩
5
楼
2楼,你把所有区块的的VirtualSize改为1000h(<=SizeOfRawData),这个没什么意义。
以最后一个区块为例,VirtualSize能取5D9h到1000h之间的任意一个值。这中间有什么区别吗,没仔细想过,求高手指教。
2009-12-5 23:08
0
skypismire
雪 币:
75
活跃值:
(843)
能力值:
( LV6,RANK:90 )
在线值:
发帖
95
回帖
706
粉丝
2
关注
私信
skypismire
1
6
楼
感谢楼上的几位朋友,的确是新增加的节后面没有用0填充,导致SizeOfRawData与实际的不符。但若像tbc把sizeofRawdata改成5d9,不填充,同样也行。
不过按照SizeOfRawData的定义:指出节在磁盘文件中所占的大小,这个数值等于VirtualSize字段的值按照FileAlignment的值对齐后的大小
我还是采用怀特迈恩 的方法。
2009-12-7 14:27
0
guo进
雪 币:
3
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
21
粉丝
0
关注
私信
guo进
7
楼
应该解决问题了
2009-12-7 20:08
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
skypismire
1
95
发帖
706
回帖
90
RANK
关注
私信
他的文章
[原创]一种利用windows Virtualization-based security机制防范游戏外挂的方法
5273
[求助]有native c api 说明文档吗
8264
[讨论]有谁知道win10的执行流防护是啥玩意
4488
关闭
8964
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
tjszlqq
ragdog
skypismire
风随雨行
tbc
怀特迈恩
Arnold未央
看原图
赞赏
×
雪币:
+
留言:
快捷留言
非常支持你的观点!
这个讨论对我很有帮助,谢谢!
感谢你分享这么好的资源!
谢谢你的细致分析,受益匪浅!
感谢你的积极参与,期待更多精彩内容!
感谢你的贡献,论坛因你而更加精彩!
你的分享对大家帮助很大,非常感谢!
期待更多优质内容的分享,论坛有你更精彩!
你的帖子非常有用,感谢分享!
请遵守论坛规则,避免发布广告内容!
请注意发帖规范,保持良好的讨论环境!
为你点赞!
返回
顶部
账号登录
验证码登录
×
登 录
微信一键登录
获取验证码
登 录
忘记密码?
没有账号?立即免费注册
使用以下账号登录
我已同意
《看雪服务条款》
《看雪课程免责声明》
《看雪隐私政策》
//
×
求助问答申诉
举报此帖
×
申请推荐此帖
×
×
Close
游客下载提示
×
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。
// 统计代码