[原创]也谈PE重定位表-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

hyperiris

2011-9-28 16:13

13760

最近研究脱壳，遇到了dll，所以不可避免的需要修复重定位表。以前研究过也脱过不少壳，但都是exe从来没有手工修过重定位表，
于是搜索之，恩有这么一篇：《PE重定位表学习手记》，有刚巧手上有看雪段钢等编著的《加密与解密》，一并阅读。

《PE重定位表学习手记》中说到：

直至某个块首结构的VirtualAddress为 0，表明重定位表结束。

……

do
{//处理一个接一个的重定位块，最后一个重定位块以RAV=0结束

……

}while (pRelocBlock->VirtualAddress);

上传的附件：

收藏・12

免费・6

支持

最新回复 (2)
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 2 楼友情顶礼膜拜 2011-9-28 16:18 0
hyperiris 雪币： 220 活跃值： (156) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	hyperiris 1 3 楼顺便一提，win7 x64似乎对padding zero作了处理，没有这个问题 2011-9-28 16:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hyperiris

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 2 楼友情顶礼膜拜 2011-9-28 16:18 0
hyperiris 雪币： 220 活跃值： (156) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	hyperiris 1 3 楼顺便一提，win7 x64似乎对padding zero作了处理，没有这个问题 2011-9-28 16:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复