[求助]PE文件修改后加载到内存中偏移了4字节-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
丘比龙雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	丘比龙 2 楼注意节对齐，或者你那个jmp算错了。 2014-9-18 15:18 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 3 楼 20字节之内的代码没处理错吧？没把完整的指令截断吧？ 2014-9-18 16:01 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 4 楼 jmp没算错，用PEID打开文件，直接跳到jmp的地址时正确的，但一旦用OD载入就向前偏移了4字节 2014-9-18 18:34 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 5 楼指令截得正常，在OD中看了下，跟源文件一样，是正确的 2014-9-18 18:35 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 6 楼 od有缓存的。 2014-9-19 07:50 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 7 楼昨天晚上加班到很晚，到家后把内存中最后两个节的内容dump出来了，然后跟文件中最后两个节做了对比，发现，最后一个节的开头多了4字节的 00 00 00 00 ，然后又找上一个节，发现上一个节的VirtualSize的大小为12004，加载进内存对齐后为13000，于是最后的4字节被挤到下一节去了，所以下一节在内存中多了上一节的最后4字节，但是不是很理解啊，对齐后为什么把最后的4字节挤到下一节去了呢？ 2014-9-19 09:17 0
丘比龙雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	丘比龙 8 楼让我说对了吧。节对齐一下就可以了。 2014-9-19 09:37 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 9 楼你的意思是，对倒数第二个节对齐？这个节是是对齐后的啊，virtualSize是12004，内存对齐后为13000，为什么最后那4个字节会挤到下一节？内存已经对齐了啊？ 2014-9-19 09:42 0
丘比龙雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	丘比龙 10 楼发文件发过来来瞅瞅。 2014-9-19 09:47 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 11 楼明天吧，文件在家里的电脑上，现在在上班，谢啦 2014-9-19 10:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
丘比龙雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	丘比龙 2 楼注意节对齐，或者你那个jmp算错了。 2014-9-18 15:18 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 3 楼 20字节之内的代码没处理错吧？没把完整的指令截断吧？ 2014-9-18 16:01 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 4 楼 jmp没算错，用PEID打开文件，直接跳到jmp的地址时正确的，但一旦用OD载入就向前偏移了4字节 2014-9-18 18:34 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 5 楼指令截得正常，在OD中看了下，跟源文件一样，是正确的 2014-9-18 18:35 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 6 楼 od有缓存的。 2014-9-19 07:50 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 7 楼昨天晚上加班到很晚，到家后把内存中最后两个节的内容dump出来了，然后跟文件中最后两个节做了对比，发现，最后一个节的开头多了4字节的 00 00 00 00 ，然后又找上一个节，发现上一个节的VirtualSize的大小为12004，加载进内存对齐后为13000，于是最后的4字节被挤到下一节去了，所以下一节在内存中多了上一节的最后4字节，但是不是很理解啊，对齐后为什么把最后的4字节挤到下一节去了呢？ 2014-9-19 09:17 0
丘比龙雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	丘比龙 8 楼让我说对了吧。节对齐一下就可以了。 2014-9-19 09:37 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 9 楼你的意思是，对倒数第二个节对齐？这个节是是对齐后的啊，virtualSize是12004，内存对齐后为13000，为什么最后那4个字节会挤到下一节？内存已经对齐了啊？ 2014-9-19 09:42 0
丘比龙雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	丘比龙 10 楼发文件发过来来瞅瞅。 2014-9-19 09:47 0
callwhl 雪币： 20 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 68 粉丝 1 关注私信	callwhl 11 楼明天吧，文件在家里的电脑上，现在在上班，谢啦 2014-9-19 10:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复