首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]PE格式!!!
发表于: 2006-5-13 18:11 6546

[求助]PE格式!!!

swindler 活跃值
2006-5-13 18:11
6546
我是初学者想请教个简单的问题!!!
如果数据目录中的IMAGE_DIRECTORY_ENTRY_IMPORT 的值是 4c44 0000 3c00 000
它表示的是在rva=444c的地方是IMAGE_IMPORT_DESCRIPTOR数组的开始地址;
并且IMAGE_IMPORT_DESCRIPTOR数组的大小是3c.
请问我这样理解是对的吗?
thanks!!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (18)
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
是的。你可以用其他PE工具来辅助判断
如LordPE
2006-5-13 18:20
0
swindler
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢!!!!
还有个接上面的问题:
我先贴出IMAGE_IMPORT_DESCRIPTOR 的结构定义:
IMAGE_IMPORT_DESCRIPTOR STRUCT
    union
        Characteristics dd      ?
        OriginalFirstThunk dd   ?
   ends
    TimeDateStamp dd    ?
    ForwarderChain dd   ?
    Name1 dd            ?
    FirstThunk dd       ?
IMAGE_IMPORT_DESCRIPTOR ENDS
刚才说IMAGE_IMPORT_DESCRIPTOR数组的大小是3cH(60d),他为什么不是4+4+4+4+4+4=24的整数倍了???
2006-5-13 18:20
0
swindler
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
坛主可否再次献身(现身)!!!!!!!!!!!!!!!
thanks!!!
2006-5-13 18:48
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
5
最初由 swindler 发布
谢谢!!!!
还有个接上面的问题:
我先贴出IMAGE_IMPORT_DESCRIPTOR 的结构定义:
IMAGE_IMPORT_DESCRIPTOR STRUCT
union
........


还是建议你用PE工具打开一个实例,对照着来学,将:
IMAGE_IMPORT_DESCRIPTOR STRUCT
    union
        Characteristics dd      ?
        OriginalFirstThunk dd   ?
   ends
    TimeDateStamp dd    ?
    ForwarderChain dd   ?
    Name1 dd            ?
    FirstThunk dd       ?
IMAGE_IMPORT_DESCRIPTOR ENDS

与实例中的IID中的字段一一对应起来,这样才易于理解的。

一个IID是0x14大小。

例如某程序中的一个IID:

偏移        OrignalFirstThunk  TimeDateStamp  ForwardChain   Name        First Thunk
00000640    8C20 0000          0000 0000      0000 0000      7421 0000   1020 0000
2006-5-13 19:05
0
swindler
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我一直开着stub_pe
谢谢坛主!
为什么这 Characteristics 不占字节了?
不是有 Characteristics dd      ?吗?
2006-5-13 19:09
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
7
最初由 swindler 发布
我一直开着stub_pe
谢谢坛主!
为什么这 Characteristics 不占字节了?
不是有 Characteristics dd ?吗?


   union
        Characteristics dd      ?
        OriginalFirstThunk dd   ?
   ends

表示当前位类型有2种情况,可能是Characteristics,也可能是OriginalFirstThunk。
这2上定义具体不同,你看论坛中有的PE文档资料,有描述。
注意结构中的关键字:
union
……
end
2006-5-13 19:16
0
swindler
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
坛主的耐心,我佩服!!!!
2006-5-13 19:39
0
wurha
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
pe(portable executive)是可执行的移动体。是WINDOWS下的可执行文件的格式。与它相关的名词有:入口点、虚拟地址、偏移地址等。
2006-5-14 14:07
0
wurha
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
您好!楼主。我是江苏工业大学计算机系的大四学生。这次毕业设计做的是Windows下可执行文件的加密研究。以前从业没有接触过,大学里自己的专业方向是软件工程,对加密方面一直没有涉及,这次毕业设计指导老师给了一个这方面的题目,借了若干相关书本,其中有你所编写的《加密与解密》看了部分,可就是看不懂啊。老师检查问我:你给谁加密,为什么要对它加密,PE究竟是一个什么东西,你对可执行文件加密难道是不要让用户安装和使用吗?等问题,我一个也没回答出来。是的,我看书似乎也不能从中得出这些答案啊!心急如焚!!!眼看快要最后答辩了,现在还不知所云。肯请楼主赐教。谢谢各位了!!!!
我的联系方式:QQ:172925156
              E-mail:wurha@eyou.com
2006-5-14 14:18
0
wurha
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
楼主您好!还有《加密与解密》这本书的光盘上的原码能否请赐。我想可以从中学到很多。真得是有劳了。
2006-5-14 14:28
0
swindler
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
我想你想请教的应该是我们的坛主吧!!
呵呵 !
我觉得你现在看看论坛上的一些文章就可以解决你的问题了!!!
2006-5-14 15:21
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
13
你给谁加密,为什么要对它加密,PE究竟是一个什么东西,你对可执行文件加密难道是不要让用户安装和使用吗?

你给谁加密
RE:我给Windows下可执行文件加密。

为什么要对它加密
RE:加密可以提高软件保护强度

PE究竟是一个什么东西
RE:查看MSDN文档

你对可执行文件加密难道是不要让用户安装和使用吗?
RE:对使用者来说是透明的
2006-5-14 15:37
0
wurha
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
您好!看雪坛主!
非常感谢您的在线解答!这次毕业设计做的是PE文件加密研究,现在找了一份ERP开发的工作,可能以后会在这个方向发展。看了您编写的《加密与解密》这本书对于我这样的新人来说,需要学习的东西太多,只是看到现在有一个问题一直没有搞清:为什么研究加解密前一定要研究PE可执行文件呢?PE可执行文件的结构与装入机理对可执行文件加密的影响和联系究竟是什么?像加壳软件的加密又该如何与PE文件的相关知识结合起来去学习呢?在看书的过程中如压缩技术、WIN32编程,重定位技术、反汇编、DLL绑定、反跟踪调试等技术,上周老师检查我又说得一头雾水,现在越做越不知道怎么做了!肯请坛主能够指点迷津!!!
2006-5-19 22:43
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
15
最初由 wurha 发布
您好!看雪坛主!
非常感谢您的在线解答!这次毕业设计做的是PE文件加密研究,现在找了一份ERP开发的工作,可能以后会在这个方向发展。看了您编写的《加密与解密》这本书对于我这样的新人来说,需要学习的东西太多,只是看到现在有一个问题一直没有搞清:为什么研究加解密前一定要研究PE可执行文件呢?PE可执行文件的结构与装入机理对可执行文件加密的影响和联系究竟是什么?像加壳软件的加密又该如何与PE文件的相关知识结合起来去学习呢?在看书的过程中如压缩技术、WIN32编程,重定位技术、反汇编、DLL绑定、反跟踪调试等技术,上周老师检查我又说得一头雾水,现在越做越不知道怎么做了!肯请坛主能够指点迷津!!!


1.为什么研究加解密前一定要研究PE可执行文件呢?
因为Windows的可执行文件的格式是PE格式,而你加解密玩的就是这些EXE、DLL文件,如果你是分析算法,一般不需要了解PE格式;如果是研究加壳与脱壳,必须掌握PE格式。

2.PE可执行文件的结构与装入机理对可执行文件加密的影响和联系究竟是什么?
了解装入机理,你才能写出好的加壳软件,例如Windows加载器填充IAT这块,写壳时,你就自己格式Windows加载器来填充。

3.像加壳软件的加密又该如何与PE文件的相关知识结合起来去学习呢?
多实践。
2006-5-20 16:58
0
yiranaini
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
有人见过这个EP格式的吗?FSAA
入口点    :00109060    EP区段:FSAA
文件偏移量:000DC460    第一个字节:60,90,E8,00
连接器信息:7.0         子系统:Win32 GUI
什么都没找到 *
我扫描的结果就是这样的,```为什么是什么都没找到呢?还有,我用插件(Generic OEP Finder)扫描结果提示说Found OEP:020F04ED   这个是什么意思呢?
2006-5-22 10:31
0
wurha
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
这一段时间一直在苦读您所编写的《加密与解密》。
上次您在线解答了我向您请教的问题,其中您说加密玩的就是.exe\.dll,而且对用户来说是透明的,我确是不太理解!!!我从网上下了几个加壳工具软件,在机子上却总是无法使用,对光盘源码中加壳的部分却看得快要吐血。我到现在还是不能明白加壳技术与PE文件的关系。
我想请问:PE文件的结构与装载对外壳加密的影响和作用究竟是什么?为什么说加密就一定是对可执行文件呢?而且这对于用户是透明的!!!肯请看雪坛主指点迷津!!也是这对于我来说入门和他人相比是晚了些,但我想通过在这里向您请教和学习。万分感谢!!!
2006-5-25 17:18
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
18
最初由 wurha 发布
这一段时间一直在苦读您所编写的《加密与解密》。
上次您在线解答了我向您请教的问题,其中您说加密玩的就是.exe\.dll,而且对用户来说是透明的,我确是不太理解!!!我从网上下了几个加壳工具软件,在机子上却总是无法使用,对光盘源码中加壳的部分却看得快要吐血。我到现在还是不能明白加壳技术与PE文件的关系。


http://bbs.pediy.com/showthread.php?s=&threadid=20366
4楼有你要找的答案。

加壳工具这里下载:http://www.pediy.com/tools/packers.htm
2006-5-25 17:48
0
softworm
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
私信
19
最初由 wurha 发布
还是不能明白加壳技术与PE文件的关系。


由编译器生成的代码是明文的,有逆向工程经验的人很容易通过静态分析反汇编代码及动态调试分析出程序的机理。

加壳软件加密原二进制代码,在原文件中增加壳代码,负责解码,反调试。在原程序之前执行,这需要修改原PE文件的结构。类似文件型病毒。
2006-5-25 20:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//