-
-
原创视频教程:揭秘PE格式之输入表
-
发表于: 2010-10-21 12:34
-
今天分析了一下PEID0.94的输入表,做个视频,同大家一起学习,
如果有错误,或者术语不对,欢迎给我留言。我也是初学者。
视频下载地址: http://www.33vc.com/disk/GetFile.asp?Id=101021122927v0qdu (进去后直接点下载文件)。
PEID 输入表:RVA 0008B000 Size: 00000FF4
RVA指向的是IID结构数组。
IID结构 ,20字节。最后以20个0结束。
peid 输入了7个dll.
IID 最重要的是第1,4,5个字段。
1.5分别 是 …
4是dll的名字。
第一个dll,name 0008B0A0 advapi32.dll
第二个dll,name 0008B178 comctl32.dll
……….
只分析advapi32.dll
第5个字段 FirstThunk是00001000。指向的是IAT, (第1个字段OrignalFirstThunk指向的才是INT)
IAT是IMAGE_THUNKDATA(4个字节)的数组。
发现有11个 IMAGE_THUNKDATA。所以应该是输入了11个函数。
第1个函数 0008B0AE ->根据名字来输入。它的hint 1f,
name AllocatAndInitiaziSid,
第2个函数 0008B0CA 它的hint 011B,
name GetTokenInformation
如果有错误,或者术语不对,欢迎给我留言。我也是初学者。
视频下载地址: http://www.33vc.com/disk/GetFile.asp?Id=101021122927v0qdu (进去后直接点下载文件)。
PEID 输入表:RVA 0008B000 Size: 00000FF4
RVA指向的是IID结构数组。
IID结构 ,20字节。最后以20个0结束。
peid 输入了7个dll.
IID 最重要的是第1,4,5个字段。
1.5分别 是 …
4是dll的名字。
第一个dll,name 0008B0A0 advapi32.dll
第二个dll,name 0008B178 comctl32.dll
……….
只分析advapi32.dll
第5个字段 FirstThunk是00001000。指向的是IAT, (第1个字段OrignalFirstThunk指向的才是INT)
IAT是IMAGE_THUNKDATA(4个字节)的数组。
发现有11个 IMAGE_THUNKDATA。所以应该是输入了11个函数。
第1个函数 0008B0AE ->根据名字来输入。它的hint 1f,
name AllocatAndInitiaziSid,
第2个函数 0008B0CA 它的hint 011B,
name GetTokenInformation
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
感谢Ls的支持。居然是07年注册以来的第一帖。真荣幸。呵呵
|
|
|
楼主你好,52上 见过你
|
|
|
|
|
|
52很少上,发现人气也不好。
还准备再弄个EAT的分析和基址重定位的视频呢。。汗。。。 如果有时间就做,发到看雪吧。。。 
|
|
|
|
|
|
|
