-
-
[原创]献上Win PE文件格式解释源码
-
发表于: 2016-9-27 08:00
-
曾经的PE文件头部信息解释源码,从看雪上学到不少东西,还之看雪,献给有需要的人,曾经的代码,现在看感觉好乱好乱,要是大牛看了会不会一个砖块拍过来?写这个大部分资料来自看雪,还有少部分来自自己工具使用中碰到的变形PE得到的经验。比如 SizeOfImage 的值,也许你会认为它一定是 SectionAlignment 粒度对齐值,其实我曾经碰到过:它按照按 FileAlignment 值粒度对齐,却没有照按 SectionAlignment 粒度对齐值,这个时候的 SizeOfImage 经过计算照按 SectionAlignment 粒度对齐后却是正确的PE映像尺寸!这样的PE在Win7下也是正确的可执行的(.exe),可是它曾经却能干扰调试和反汇编工具!看过2本书《PE权威指南》和《加密与解密》。我粗略的看过,其中没有见过对PE64的过多解释,所以源码对64位PE的解读完全是个人行为只是依照32位的思路做的。
因为工具运行会更改文件关联,所以请先虚拟机测试。
附件可执行文件 .exe 已经删除 需要的自己编译链接(VC++6.0)
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
文件关联了!源码都在,还什么毒?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 笑屎我了
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
