[原创]献上Win PE文件格式解释源码-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]献上Win PE文件格式解释源码

发表于: 2016-9-27 08:00 15832

[原创]献上Win PE文件格式解释源码

linziqingl 活跃值

2016-9-27 08:00

15832

曾经的PE文件头部信息解释源码，从看雪上学到不少东西，还之看雪，献给有需要的人,曾经的代码，现在看感觉好乱好乱，要是大牛看了会不会一个砖块拍过来？写这个大部分资料来自看雪，还有少部分来自自己工具使用中碰到的变形PE得到的经验。比如 SizeOfImage 的值，也许你会认为它一定是 SectionAlignment 粒度对齐值，其实我曾经碰到过：它按照按 FileAlignment 值粒度对齐，却没有照按 SectionAlignment 粒度对齐值，这个时候的 SizeOfImage 经过计算照按 SectionAlignment 粒度对齐后却是正确的PE映像尺寸！这样的PE在Win7下也是正确的可执行的（.exe），可是它曾经却能干扰调试和反汇编工具！看过2本书《PE权威指南》和《加密与解密》。我粗略的看过，其中没有见过对PE64的过多解释，所以源码对64位PE的解读完全是个人行为只是依照32位的思路做的。

因为工具运行会更改文件关联，所以请先虚拟机测试。

附件可执行文件 .exe 已经删除需要的自己编译链接（VC++6.0）

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

PE捕获.PNG （197.48kb，428次下载）
PE捕获2.PNG （199.31kb，244次下载）
PE格式文件信息查看修改工具3.rar （152.99kb，614次下载）

收藏・46

免费・3

支持

最新回复 (36) 1 2 ▶
crackhack 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	crackhack 2 楼多谢楼主住分享 2016-9-27 08:50 0
zdager 雪币： 45 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zdager 3 楼谢谢楼主分享~~~ 2016-9-27 09:11 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 4 楼注意有毒, 刚才360杀了我给恢复了, 运行了一下,现在所有的.exe程序都打不开了, 应该是把exe的接管程序换了, 包括任务管理器, regedit.exe， cmd.exe, 除了资源管理器和windows自带的浏览器可以用, 请版主赶紧删帖, 我的现在还没有恢复 2016-9-27 09:43 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 5 楼文件关联了！源码都在，还什么毒？ 2016-9-27 09:46 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 6 楼大家可以下载试试 2016-9-27 09:56 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 7 楼我的现在还没有解决,没法修改注册表, 所有的程序都无法打开, 也在此求一个解决办法 2016-9-27 09:57 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 8 楼一大早的，我已经醉了！ 2016-9-27 10:12 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 9 楼又解决方法吗 2016-9-27 10:25 0
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 10 楼哈哈哈.... 2016-9-27 10:48 0
Seven的怀念雪币： 16723 活跃值： (3993) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	Seven的怀念 11 楼学习一下64位的解析方法，感谢分享~！ 2016-9-27 11:05 0
heihu 雪币： 1136 活跃值： (683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 12 楼感谢楼主共享的好东西 2016-9-27 12:17 0
heihu 雪币： 1136 活跃值： (683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 13 楼楼主DEBUG目录内的程序可能已被感染了，重新编译下即可，后面下载的请注意下！ 2016-9-27 17:06 0
orz1ruo 雪币： 16444 活跃值： (2463) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 610 粉丝 8 关注私信	orz1ruo 14 楼哈哈哈.... 如果不放心的, 重新编译就是了. 2016-9-27 17:58 0
gegon 雪币： 375 活跃值： (181) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 210 粉丝 0 关注私信	gegon 15 楼不错不错 2016-9-27 21:47 0
实都雪币： 66 活跃值： (2570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 16 楼分享精神！感谢楼主了 2016-9-28 01:15 0
fengyunabc 雪币： 3700 活跃值： (3817) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 523 粉丝 26 关注私信	fengyunabc 1 17 楼不错，感谢！ 2016-9-29 01:24 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 18 楼 Mark~感谢楼主分享。 2016-9-29 10:01 0
xhK 雪币： 159 活跃值： (38) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 122 粉丝 0 关注私信	xhK 3 19 楼笑屎我了 2016-9-29 14:54 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 1 关注私信	baiyunbian 20 楼挺好的，做这个是个细致活，要有耐心啊 2016-9-30 09:12 0
曲终人散雪币： 2910 活跃值： (507) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 0 关注私信	曲终人散 21 楼确实不错的东西，已经下载了 2016-9-30 12:55 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 22 楼 “Reserved”: 不是“IMAGE_LOAD_CONFIG_DIRECTORY32”的成员 2016-9-30 14:29 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 23 楼用vc++6.0工具 2016-9-30 21:40 0
huangqiang 雪币： 454 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 103 粉丝 1 关注私信	huangqiang 25 楼楼主你真棒，居然发源码，谢谢分享了 2016-10-1 23:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

linziqingl

发帖

339

回帖

190

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
crackhack 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	crackhack 2 楼多谢楼主住分享 2016-9-27 08:50 0
zdager 雪币： 45 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zdager 3 楼谢谢楼主分享~~~ 2016-9-27 09:11 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 4 楼注意有毒, 刚才360杀了我给恢复了, 运行了一下,现在所有的.exe程序都打不开了, 应该是把exe的接管程序换了, 包括任务管理器, regedit.exe， cmd.exe, 除了资源管理器和windows自带的浏览器可以用, 请版主赶紧删帖, 我的现在还没有恢复 2016-9-27 09:43 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 5 楼文件关联了！源码都在，还什么毒？ 2016-9-27 09:46 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 6 楼大家可以下载试试 2016-9-27 09:56 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 7 楼我的现在还没有解决,没法修改注册表, 所有的程序都无法打开, 也在此求一个解决办法 2016-9-27 09:57 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 8 楼一大早的，我已经醉了！ 2016-9-27 10:12 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 9 楼又解决方法吗 2016-9-27 10:25 0
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 10 楼哈哈哈.... 2016-9-27 10:48 0
Seven的怀念雪币： 16723 活跃值： (3993) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	Seven的怀念 11 楼学习一下64位的解析方法，感谢分享~！ 2016-9-27 11:05 0
heihu 雪币： 1136 活跃值： (683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 12 楼感谢楼主共享的好东西 2016-9-27 12:17 0
heihu 雪币： 1136 活跃值： (683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 13 楼楼主DEBUG目录内的程序可能已被感染了，重新编译下即可，后面下载的请注意下！ 2016-9-27 17:06 0
orz1ruo 雪币： 16444 活跃值： (2463) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 610 粉丝 8 关注私信	orz1ruo 14 楼哈哈哈.... 如果不放心的, 重新编译就是了. 2016-9-27 17:58 0
gegon 雪币： 375 活跃值： (181) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 210 粉丝 0 关注私信	gegon 15 楼不错不错 2016-9-27 21:47 0
实都雪币： 66 活跃值： (2570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 16 楼分享精神！感谢楼主了 2016-9-28 01:15 0
fengyunabc 雪币： 3700 活跃值： (3817) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 523 粉丝 26 关注私信	fengyunabc 1 17 楼不错，感谢！ 2016-9-29 01:24 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 18 楼 Mark~感谢楼主分享。 2016-9-29 10:01 0
xhK 雪币： 159 活跃值： (38) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 122 粉丝 0 关注私信	xhK 3 19 楼笑屎我了 2016-9-29 14:54 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 1 关注私信	baiyunbian 20 楼挺好的，做这个是个细致活，要有耐心啊 2016-9-30 09:12 0
曲终人散雪币： 2910 活跃值： (507) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 0 关注私信	曲终人散 21 楼确实不错的东西，已经下载了 2016-9-30 12:55 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 22 楼 “Reserved”: 不是“IMAGE_LOAD_CONFIG_DIRECTORY32”的成员 2016-9-30 14:29 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 23 楼用vc++6.0工具 2016-9-30 21:40 0
huangqiang 雪币： 454 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 103 粉丝 1 关注私信	huangqiang 25 楼楼主你真棒，居然发源码，谢谢分享了 2016-10-1 23:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复