遇到在学习PE格式导入表和导入函数-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 2 楼想做某种你懂的软件吧骚年。。，不改变大小。。。直接说成。不改变MD5和让签名失效不得了。。。 2015-3-11 15:50 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 3 楼有空隙才行，否则PE会损坏的 2015-3-11 15:59 0
zhonghuayi 雪币： 150 活跃值： (1020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 4 楼我是在练习学习增加dll导入表和函数用loadpe加每次到报毒，好烦人，在想干脆自己手工加！正在学习这个pe结构，不明白函数名字前面2个字节的那个是怎么计算的 2015-3-11 16:29 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 5 楼 loadpe 有时候会新建一个段的，而这个段没有按文件对齐来，这时候，杀毒软件很多都报毒，你把文件后面缺省的字节填入00 就不报了 2015-3-11 17:55 0
zhonghuayi 雪币： 150 活跃值： (1020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 6 楼还是想自己能了解下手工加请问下，假如一个系统记事本exe 在中间有一个段 0000000000 是这样的空白我把 _IMAGE_IMPORT_DESCRIPTOR 移动到这个位置然后修改PE 导入表地址到这个位置，其他参数都不变，为什么打开程序打不开！关于一个exe 导入表中增加dll 和dll中的一个函数具体需要注意那些? 还想知道要导入dll的函数名字可以使用分开导入不，比如某个位置空白地方只能插入一个，然后其他位置还有空白，能插入到其他位置不? 问清楚有时候自己也不必要去绕弯路了，谢谢 2015-3-11 18:27 0
HHHso 雪币： 17683 活跃值： (4666) 能力值： ( LV15，RANK：1820 ) 在线值：发帖 61 回帖 76 粉丝 62 关注私信	HHHso 22 7 楼一如果只是想手工添加dll并执行特定的函数，论坛创立者锻钢写的《PE权威指南》万能补丁这块内容有128个字节的可以填到原PE足够空隙的补丁（dll文件名为pa，修改入口到补代码，在补丁代码字节直接跳转回原入口即可，对不改变结构和大手术下这个方法挺实用二、关于将导入地址表移动到别的地方运行不了的问题所在：譬如代码中有 call [addr_eq_nMul4_of_IAT] 函数，当你把IAT移到别的地方时，原来位置addr_eq_nMul4_of_IAT就没有函数地址了，调用就会失败。所以，要实现IAT移动，还需要修改所有代码段调用到IAT的地址字节。及要移动IAT，需要修改所有调用到IAT的代码段指令。 2015-3-12 09:05 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 8 楼刚开始学习别搞系统的程序，系统程序跟普通程序有很大区别，不知道是编译器的不同还是后期搞过的，结构上有差异，而且导入表已经绑定过的 2015-3-12 11:29 0
zhonghuayi 雪币： 150 活跃值： (1020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 9 楼谢谢明白了，看来这个问题很深奥，还要花点时间多学学 2015-3-13 17:30 0
zhonghuayi 雪币： 150 活跃值： (1020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 10 楼明白了，看来还是要实践的真理，在论坛没找到实践的例子，想找别人写的详细解说学习学习 2015-3-13 17:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 2 楼想做某种你懂的软件吧骚年。。，不改变大小。。。直接说成。不改变MD5和让签名失效不得了。。。 2015-3-11 15:50 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 3 楼有空隙才行，否则PE会损坏的 2015-3-11 15:59 0
zhonghuayi 雪币： 150 活跃值： (1020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 4 楼我是在练习学习增加dll导入表和函数用loadpe加每次到报毒，好烦人，在想干脆自己手工加！正在学习这个pe结构，不明白函数名字前面2个字节的那个是怎么计算的 2015-3-11 16:29 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 5 楼 loadpe 有时候会新建一个段的，而这个段没有按文件对齐来，这时候，杀毒软件很多都报毒，你把文件后面缺省的字节填入00 就不报了 2015-3-11 17:55 0
zhonghuayi 雪币： 150 活跃值： (1020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 6 楼还是想自己能了解下手工加请问下，假如一个系统记事本exe 在中间有一个段 0000000000 是这样的空白我把 _IMAGE_IMPORT_DESCRIPTOR 移动到这个位置然后修改PE 导入表地址到这个位置，其他参数都不变，为什么打开程序打不开！关于一个exe 导入表中增加dll 和dll中的一个函数具体需要注意那些? 还想知道要导入dll的函数名字可以使用分开导入不，比如某个位置空白地方只能插入一个，然后其他位置还有空白，能插入到其他位置不? 问清楚有时候自己也不必要去绕弯路了，谢谢 2015-3-11 18:27 0
HHHso 雪币： 17683 活跃值： (4666) 能力值： ( LV15，RANK：1820 ) 在线值：发帖 61 回帖 76 粉丝 62 关注私信	HHHso 22 7 楼一如果只是想手工添加dll并执行特定的函数，论坛创立者锻钢写的《PE权威指南》万能补丁这块内容有128个字节的可以填到原PE足够空隙的补丁（dll文件名为pa，修改入口到补代码，在补丁代码字节直接跳转回原入口即可，对不改变结构和大手术下这个方法挺实用二、关于将导入地址表移动到别的地方运行不了的问题所在：譬如代码中有 call [addr_eq_nMul4_of_IAT] 函数，当你把IAT移到别的地方时，原来位置addr_eq_nMul4_of_IAT就没有函数地址了，调用就会失败。所以，要实现IAT移动，还需要修改所有代码段调用到IAT的地址字节。及要移动IAT，需要修改所有调用到IAT的代码段指令。 2015-3-12 09:05 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 8 楼刚开始学习别搞系统的程序，系统程序跟普通程序有很大区别，不知道是编译器的不同还是后期搞过的，结构上有差异，而且导入表已经绑定过的 2015-3-12 11:29 0
zhonghuayi 雪币： 150 活跃值： (1020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 9 楼谢谢明白了，看来这个问题很深奥，还要花点时间多学学 2015-3-13 17:30 0
zhonghuayi 雪币： 150 活跃值： (1020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 10 楼明白了，看来还是要实践的真理，在论坛没找到实践的例子，想找别人写的详细解说学习学习 2015-3-13 17:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 遇到在学习PE格式导入表和导入函数 0.00雪花