首页
社区
课程
招聘
[求助]如何修正无效的PE文件?用LordPE打不开。
发表于: 2010-8-15 15:18 7578

[求助]如何修正无效的PE文件?用LordPE打不开。

2010-8-15 15:18
7578
无意间搞到一个DLL,想反汇编来看看,结果发现自己啃了坏硬骨头,没办法,又得来发帖了。

目标是DLL,是某个软件的一个动态库,该软件使用正常。

用OD打开,结果说是非法文件 -_-b

那就用IDA,分析不出结构。结果如ida.jpg所示。

用UltraEdit直接看HEX,是MZ开头的,应该是PE文件。

想到PE欺骗,用PEid打开,结果显示无效PE文件。意料之中。

从看雪下载个LordPE打开,打算来改改Roffset和Rsize,结果还是无效PE文件。

请问这样的文件,它是如何做到无法反编译的?该如何处理?
能不能算出Roffset和size,通过UE或Hex,直接把文件改正常?

该dll在附件中,有兴趣的朋友可以拉去试试看。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
btq
2
试了很多的PE修改器,没有1个能打开。。。
2010-8-15 15:19
0
雪    币: 622
活跃值: (294)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
3
2个问题。
首先,这个软件的头部的00全部被替换成了20h,所以无法认定为PE文件,自己手动改一下就行了,大概也就是前300h的范围。
其次,这个文件的主体明显被加密过的,所以软件主程序中应该有什么部分对其解密。

从你描述来看,该软件很可能是内存载入该dll,并解密。如果是这样的话,它只要对PE中一些关键参数做下and操作就可以正确载入,Windows的PE结构里面有很多成员,但是如果只是想正确载入一个PE文件,其实只需要提供很少的数据就能完成。

最后一点,这个文件可能不是DLL,可能是EXE,如果作为一个功能性的DLL,没有输出表是很不可思议的。当然COM型的DLL好像也没有输出表就是了...
2010-8-15 16:37
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
btq
4
好的,我去试试,谢谢~
2010-8-15 17:00
0
游客
登录 | 注册 方可回帖
返回
//