首页
社区
课程
招聘
[原创]献上Win PE文件格式解释源码
发表于: 2016-9-27 08:00 15986

[原创]献上Win PE文件格式解释源码

2016-9-27 08:00
15986

曾经的PE文件头部信息解释源码,从看雪上学到不少东西,还之看雪,献给有需要的人,曾经的代码,现在看感觉好乱好乱,要是大牛看了会不会一个砖块拍过来?写这个大部分资料来自看雪,还有少部分来自自己工具使用中碰到的变形PE得到的经验。比如 SizeOfImage 的值,也许你会认为它一定是 SectionAlignment 粒度对齐值,其实我曾经碰到过:它按照按 FileAlignment 值粒度对齐,却没有照按 SectionAlignment 粒度对齐值,这个时候的 SizeOfImage 经过计算照按 SectionAlignment 粒度对齐后却是正确的PE映像尺寸!这样的PE在Win7下也是正确的可执行的(.exe),可是它曾经却能干扰调试和反汇编工具!看过2本书《PE权威指南》和《加密与解密》。我粗略的看过,其中没有见过对PE64的过多解释,所以源码对64位PE的解读完全是个人行为只是依照32位的思路做的。

因为工具运行会更改文件关联,所以请先虚拟机测试。




  附件可执行文件 .exe 已经删除 需要的自己编译链接(VC++6.0)


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 3
支持
分享
最新回复 (36)
雪    币: 0
活跃值: (60)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
多谢楼主住分享
2016-9-27 08:50
0
雪    币: 45
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢楼主分享~~~
2016-9-27 09:11
0
雪    币: 9
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
注意有毒, 刚才360杀了我给恢复了, 运行了一下,现在所有的.exe程序都打不开了, 应该是把exe的接管程序换了, 包括任务管理器, regedit.exe, cmd.exe, 除了资源管理器和windows自带的浏览器可以用, 请版主赶紧删帖, 我的现在还没有恢复
2016-9-27 09:43
0
雪    币: 267
活跃值: (438)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
5
文件关联了!源码都在,还什么毒?
2016-9-27 09:46
0
雪    币: 9
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
大家可以下载试试
2016-9-27 09:56
0
雪    币: 9
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我的现在还没有解决,没法修改注册表, 所有的程序都无法打开, 也在此求一个解决办法
2016-9-27 09:57
0
雪    币: 267
活跃值: (438)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
8
一大早的,我已经醉了!
2016-9-27 10:12
0
雪    币: 9
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
又解决方法吗
2016-9-27 10:25
0
雪    币: 341
活跃值: (138)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
10
哈哈哈....
2016-9-27 10:48
0
雪    币: 17000
活跃值: (4267)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
学习一下64位的解析方法,感谢分享~!
2016-9-27 11:05
0
雪    币: 1136
活跃值: (683)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
感谢楼主共享的好东西
2016-9-27 12:17
0
雪    币: 1136
活跃值: (683)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
楼主DEBUG目录内的程序可能已被感染了,重新编译下即可,后面下载的请注意下!
2016-9-27 17:06
0
雪    币: 16468
活跃值: (2493)
能力值: ( LV9,RANK:147 )
在线值:
发帖
回帖
粉丝
14
哈哈哈.... 如果不放心的, 重新编译就是了.
2016-9-27 17:58
0
雪    币: 375
活跃值: (201)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
不错 不错
2016-9-27 21:47
0
雪    币: 66
活跃值: (2712)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
分享精神!感谢楼主了
2016-9-28 01:15
0
雪    币: 3736
活跃值: (3867)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
不错,感谢!
2016-9-29 01:24
0
雪    币: 280
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
Mark~感谢楼主分享。
2016-9-29 10:01
0
雪    币: 159
活跃值: (38)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
19
笑屎我了
2016-9-29 14:54
0
雪    币: 206
活跃值: (85)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
挺好的,做这个是个细致活,要有耐心啊
2016-9-30 09:12
0
雪    币: 2918
活跃值: (512)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
确实不错的东西,已经下载了
2016-9-30 12:55
0
雪    币: 274
活跃值: (30)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
22
“Reserved”: 不是“IMAGE_LOAD_CONFIG_DIRECTORY32”的成员
2016-9-30 14:29
0
雪    币: 267
活跃值: (438)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
23
用vc++6.0工具
2016-9-30 21:40
0
雪    币: 454
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
楼主你真棒,居然发源码,谢谢分享了
2016-10-1 23:34
0
游客
登录 | 注册 方可回帖
返回
//