能力值:
(RANK:350 )
|
-
-
2 楼
是的。你可以用其他PE工具来辅助判断
如LordPE
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
谢谢!!!!
还有个接上面的问题:
我先贴出IMAGE_IMPORT_DESCRIPTOR 的结构定义:
IMAGE_IMPORT_DESCRIPTOR STRUCT
union
Characteristics dd ?
OriginalFirstThunk dd ?
ends
TimeDateStamp dd ?
ForwarderChain dd ?
Name1 dd ?
FirstThunk dd ?
IMAGE_IMPORT_DESCRIPTOR ENDS
刚才说IMAGE_IMPORT_DESCRIPTOR数组的大小是3cH(60d),他为什么不是4+4+4+4+4+4=24的整数倍了???
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
坛主可否再次献身(现身)!!!!!!!!!!!!!!!
thanks!!!
|
能力值:
(RANK:350 )
|
-
-
5 楼
最初由 swindler 发布 谢谢!!!! 还有个接上面的问题: 我先贴出IMAGE_IMPORT_DESCRIPTOR 的结构定义: IMAGE_IMPORT_DESCRIPTOR STRUCT union ........
还是建议你用PE工具打开一个实例,对照着来学,将:
IMAGE_IMPORT_DESCRIPTOR STRUCT
union
Characteristics dd ?
OriginalFirstThunk dd ?
ends
TimeDateStamp dd ?
ForwarderChain dd ?
Name1 dd ?
FirstThunk dd ?
IMAGE_IMPORT_DESCRIPTOR ENDS
与实例中的IID中的字段一一对应起来,这样才易于理解的。
一个IID是0x14大小。
例如某程序中的一个IID:
偏移 OrignalFirstThunk TimeDateStamp ForwardChain Name First Thunk
00000640 8C20 0000 0000 0000 0000 0000 7421 0000 1020 0000
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
我一直开着stub_pe
谢谢坛主!
为什么这 Characteristics 不占字节了?
不是有 Characteristics dd ?吗?
|
能力值:
(RANK:350 )
|
-
-
7 楼
最初由 swindler 发布 我一直开着stub_pe 谢谢坛主! 为什么这 Characteristics 不占字节了? 不是有 Characteristics dd ?吗?
union
Characteristics dd ?
OriginalFirstThunk dd ?
ends
表示当前位类型有2种情况,可能是Characteristics,也可能是OriginalFirstThunk。
这2上定义具体不同,你看论坛中有的PE文档资料,有描述。
注意结构中的关键字:
union
……
end
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
坛主的耐心,我佩服!!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
pe(portable executive)是可执行的移动体。是WINDOWS下的可执行文件的格式。与它相关的名词有:入口点、虚拟地址、偏移地址等。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
您好!楼主。我是江苏工业大学计算机系的大四学生。这次毕业设计做的是Windows下可执行文件的加密研究。以前从业没有接触过,大学里自己的专业方向是软件工程,对加密方面一直没有涉及,这次毕业设计指导老师给了一个这方面的题目,借了若干相关书本,其中有你所编写的《加密与解密》看了部分,可就是看不懂啊。老师检查问我:你给谁加密,为什么要对它加密,PE究竟是一个什么东西,你对可执行文件加密难道是不要让用户安装和使用吗?等问题,我一个也没回答出来。是的,我看书似乎也不能从中得出这些答案啊!心急如焚!!!眼看快要最后答辩了,现在还不知所云。肯请楼主赐教。谢谢各位了!!!!
我的联系方式:QQ:172925156
E-mail:wurha@eyou.com
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
楼主您好!还有《加密与解密》这本书的光盘上的原码能否请赐。我想可以从中学到很多。真得是有劳了。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
我想你想请教的应该是我们的坛主吧!!
呵呵 !
我觉得你现在看看论坛上的一些文章就可以解决你的问题了!!!
|
能力值:
(RANK:350 )
|
-
-
13 楼
你给谁加密,为什么要对它加密,PE究竟是一个什么东西,你对可执行文件加密难道是不要让用户安装和使用吗?
你给谁加密
RE:我给Windows下可执行文件加密。
为什么要对它加密
RE:加密可以提高软件保护强度
PE究竟是一个什么东西
RE:查看MSDN文档
你对可执行文件加密难道是不要让用户安装和使用吗?
RE:对使用者来说是透明的
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
您好!看雪坛主!
非常感谢您的在线解答!这次毕业设计做的是PE文件加密研究,现在找了一份ERP开发的工作,可能以后会在这个方向发展。看了您编写的《加密与解密》这本书对于我这样的新人来说,需要学习的东西太多,只是看到现在有一个问题一直没有搞清:为什么研究加解密前一定要研究PE可执行文件呢?PE可执行文件的结构与装入机理对可执行文件加密的影响和联系究竟是什么?像加壳软件的加密又该如何与PE文件的相关知识结合起来去学习呢?在看书的过程中如压缩技术、WIN32编程,重定位技术、反汇编、DLL绑定、反跟踪调试等技术,上周老师检查我又说得一头雾水,现在越做越不知道怎么做了!肯请坛主能够指点迷津!!!
|
能力值:
(RANK:350 )
|
-
-
15 楼
最初由 wurha 发布 您好!看雪坛主! 非常感谢您的在线解答!这次毕业设计做的是PE文件加密研究,现在找了一份ERP开发的工作,可能以后会在这个方向发展。看了您编写的《加密与解密》这本书对于我这样的新人来说,需要学习的东西太多,只是看到现在有一个问题一直没有搞清:为什么研究加解密前一定要研究PE可执行文件呢?PE可执行文件的结构与装入机理对可执行文件加密的影响和联系究竟是什么?像加壳软件的加密又该如何与PE文件的相关知识结合起来去学习呢?在看书的过程中如压缩技术、WIN32编程,重定位技术、反汇编、DLL绑定、反跟踪调试等技术,上周老师检查我又说得一头雾水,现在越做越不知道怎么做了!肯请坛主能够指点迷津!!!
1.为什么研究加解密前一定要研究PE可执行文件呢?
因为Windows的可执行文件的格式是PE格式,而你加解密玩的就是这些EXE、DLL文件,如果你是分析算法,一般不需要了解PE格式;如果是研究加壳与脱壳,必须掌握PE格式。
2.PE可执行文件的结构与装入机理对可执行文件加密的影响和联系究竟是什么?
了解装入机理,你才能写出好的加壳软件,例如Windows加载器填充IAT这块,写壳时,你就自己格式Windows加载器来填充。
3.像加壳软件的加密又该如何与PE文件的相关知识结合起来去学习呢?
多实践。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
有人见过这个EP格式的吗?FSAA
入口点 :00109060 EP区段:FSAA
文件偏移量:000DC460 第一个字节:60,90,E8,00
连接器信息:7.0 子系统:Win32 GUI
什么都没找到 *
我扫描的结果就是这样的,```为什么是什么都没找到呢?还有,我用插件(Generic OEP Finder)扫描结果提示说Found OEP:020F04ED 这个是什么意思呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
这一段时间一直在苦读您所编写的《加密与解密》。
上次您在线解答了我向您请教的问题,其中您说加密玩的就是.exe\.dll,而且对用户来说是透明的,我确是不太理解!!!我从网上下了几个加壳工具软件,在机子上却总是无法使用,对光盘源码中加壳的部分却看得快要吐血。我到现在还是不能明白加壳技术与PE文件的关系。
我想请问:PE文件的结构与装载对外壳加密的影响和作用究竟是什么?为什么说加密就一定是对可执行文件呢?而且这对于用户是透明的!!!肯请看雪坛主指点迷津!!也是这对于我来说入门和他人相比是晚了些,但我想通过在这里向您请教和学习。万分感谢!!!
|
能力值:
(RANK:350 )
|
-
-
18 楼
最初由 wurha 发布 这一段时间一直在苦读您所编写的《加密与解密》。 上次您在线解答了我向您请教的问题,其中您说加密玩的就是.exe\.dll,而且对用户来说是透明的,我确是不太理解!!!我从网上下了几个加壳工具软件,在机子上却总是无法使用,对光盘源码中加壳的部分却看得快要吐血。我到现在还是不能明白加壳技术与PE文件的关系。 http://bbs.pediy.com/showthread.php?s=&threadid=20366
4楼有你要找的答案。
加壳工具这里下载:http://www.pediy.com/tools/packers.htm
|
能力值:
( LV9,RANK:1210 )
|
-
-
19 楼
最初由 wurha 发布 还是不能明白加壳技术与PE文件的关系。
由编译器生成的代码是明文的,有逆向工程经验的人很容易通过静态分析反汇编代码及动态调试分析出程序的机理。
加壳软件加密原二进制代码,在原文件中增加壳代码,负责解码,反调试。在原程序之前执行,这需要修改原PE文件的结构。类似文件型病毒。
|
|
|