能力值:
( LV2,RANK:10 )
|
-
-
2 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
想听听你的制作思路,可以吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
其实也不是什么思路,先说一下PE文件的格式吧,相信你看了之后就明白了。
+-------------------+
| DOS-stub | --DOS-头
+-------------------+
| file-header | --文件头
+-------------------+
| optional header | --可选头
|- - - - - - - - - -|
| |
| data directories | --数据目录
| |
+-------------------+
| |
| section headers | --节头
| |
+-------------------+
| |
| section 1 | --节1
| |
+-------------------+
| |
| section 2 | --节2
| |
+-------------------+
| |
| ... |
| |
+-------------------+
| |
| section n | --节n
| |
+-------------------+
DOS-stub
--------------------------------------------
| DOS-stub第60字节往后4byte的值
| 就是PE文件头(file-header)
| 的位置
--------------------------------------------
↓
File-Header
--------------------------------------
|OFFSET byte 成员
| 0 2 Machine
| 2 2 NumberOfSections
| 4 4 TimeDateStamp
20byte | 8 4 PointerToSymbolTable
| 12 4 NumberOfSymbols
| 16 2 SizeOfOptionalHeader
| 18 2 Characteristics
--------------------------------------
|
↓
optional header
-----------------------------------------------------------------------
|OFFSET byte 成员
| 0 28 标准成员------------>
OFFSET byte 成员
| 0 2 Magic
| 2 1 MajorLinkerVers
| 3 1 MinorLinkerVersn
| 4 4 SizeOfCode
| 8 4 SizeOfInitialize dData
| 12 4 SizeOfUninitiali zedData
| 16 4 AddressOfEntryPoint
| 20 4 BaseOfCode
| 24 4 BaseOfData
| ----------------------------------------------------------------------
| 28 68 Windows固有成员----->
| 28 4 ImageBase
| 32 4 SectionAlignment
| 36 4 FileAlignment
| 40 2 MajorOperatingSystemVersion
| 42 2 MinorOperatingSystemVersion
| 44 2 MajorImageVersion
| 46 2 MinorImageVersion
| 48 2 MajorSubsystemVersion
| 50 2 MinorSubsystemVersion
| 52 4 ReservedDd
| 56 4 SizeOfImage
| 60 4 SizeOfHeaders。
| 64 4 CheckSum
| 68 2 Subsystem
| 70 2 DllCharacteristi cs
| 72 4 SizeOfStackReserve
| 76 4 SizeOfStackCommit
| 80 4 SizeOfHeapReserve
224byte| 84 4 SizeOfHeapCommit
| 88 4 LoaderFlags
| 92 4 NumberOfRvaAndSizes
------------------------------------------------------------------------
| 96 128 数据目录------->
| 96 8 Export Table
| 104 8 Import Table
| 112 8 Resource Table
| 120 8 Exception Table
| 128 8 Certificate Tabl e
| 136 8 Base RelocationTable
| 144 8 Debug
| 152 8 Architecture
| 160 8 Global Ptr
| 168 8 TLS Table
| 176 8 Load Config Table
| 184 8 Bound Import
| 192 8 IAT
| 200 8 Delay Import Descriptor
| 208 16 Reserved
---------------------------------------------------------------------------------------------
・
・
・
就写到数据目录吧,太长了。。。。
你看懂了吗?我的思路就是顺藤摸瓜,
因为所有的数据的顺序和长度都是规定好了的。
你只要找到了PE头文件地址你就等于成功了80%了。
写的比较乱,希望你能看懂。
看到的兄弟帮顶啊!!!!!!!!!!!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
高!不知何时才有楼主的水平
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
是不错的思路,不过我只会下来看看,以后不一定会去用,我们在这是学技术的,老是用别人的工具那天才可以提高呀
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
楼主辛苦了。不过好像用不着吧?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
谢谢lz的详细介绍。我是新手希望以后能更多交流。俺先好好做足功课。 
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
能不能把分析iat部分说说,很是迷惑
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
从Pe文件头入口地址开始往后第220字节处,
就是iat的位置。
220字节~227字节就是iat的存储内容。
明白了吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
转正成功。高兴!!!!
谢谢楼上几位兄弟。
大家加油!!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
写的不错,特别是最我们这些小鸟学习来说,希望有时间多写写入门篇,大家都入门了,再努力向大牛们看齐!
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
友情帮顶,友情帮顶
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
学习了!!!!!
|
|
|
|
