[求助]看书之后的疑问,关于pe格式的，高人请进，在此拜过了！-《加密与解密(第4版)》-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼第一个问题：http://bbs.pediy.com/showthread.php?s=&threadid=24170&highlight=BOUNDIMPORT 第二个问题：你新增的大小要对齐，像4096这个字不合法的，一般的对齐值是0x1000,所以，你新增大小是0x1000倍数，如0x4000或0x5000 你应将区块的信息帖出来，随意增加代码段大小会影响后面区块的，即使成功，程序运行也可能出错，资源移动不是简单改RVA，资源里相关数据都要改动。 2006-5-16 10:55 0
shirl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	shirl 3 楼谢谢坛主指点，第一个问题我搞明白了；但是第二个问题，我都是在ultraedit下手动改的，插入4096是十进制，也就是十六进制的1000h呀，而且后面的段的段表中的偏移我也改了，因为ultraedit是插入功能所以后续段的数据也直接后移了啊！资源的数据当然也后移了，所以感觉修改得没错，就是运行不了！坛主说的“随意增加代码段大小会影响后面区块的，即使成功，程序运行也可能出错”是什么意思？我想现在我的问题就在这里，是不是不能随意增加代码段的大小，但是我增加后面数据段也出现这样的问题。很费解！希望坛主百忙之中能再指点一二，拜过了！ 2006-5-16 15:33 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 4 楼 Number Name VirtSize RVA PhysSize Offset Flag 1 .text 00002C1E 00001000 00003000 00001000 60000020 2 .rdata 00000898 00004000 00001000 00004000 40000040 3 .data 00000A1C 00005000 00001000 00005000 C0000040 4 .rsrc 00001000 00006000 00001000 00006000 40000040 上图是某个程序的区块表，你现在想增加.text大小，按你的意思是想将.text区块的PhysSize：3000，变成0x4000。你改后，势必影响后面的区块.rdata，.data,.rsrc。例如你改后，.rdata的RVA就会变成0x50000,而程序许多访问.rdata代码你也得修正，例如： call dword ptr [404044] //你得改成call dword ptr [405044] 还有其他一些数据变量等，因此说，你这想法是不现实的。 .rsrc 区块倒可以用一些资源工具移动。 2006-5-16 15:56 0
shirl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	shirl 5 楼听你这么一分析，我真的感到自己对pe格式还是有待更深入的了解啊！感谢大哥的赐教！拜过了！ 2006-5-16 18:35 0
aaaqaaaaa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	aaaqaaaaa 6 楼假如我重建重定向表，会不会可以解决问题？ 2007-3-9 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼第一个问题：http://bbs.pediy.com/showthread.php?s=&threadid=24170&highlight=BOUNDIMPORT 第二个问题：你新增的大小要对齐，像4096这个字不合法的，一般的对齐值是0x1000,所以，你新增大小是0x1000倍数，如0x4000或0x5000 你应将区块的信息帖出来，随意增加代码段大小会影响后面区块的，即使成功，程序运行也可能出错，资源移动不是简单改RVA，资源里相关数据都要改动。 2006-5-16 10:55 0
shirl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	shirl 3 楼谢谢坛主指点，第一个问题我搞明白了；但是第二个问题，我都是在ultraedit下手动改的，插入4096是十进制，也就是十六进制的1000h呀，而且后面的段的段表中的偏移我也改了，因为ultraedit是插入功能所以后续段的数据也直接后移了啊！资源的数据当然也后移了，所以感觉修改得没错，就是运行不了！坛主说的“随意增加代码段大小会影响后面区块的，即使成功，程序运行也可能出错”是什么意思？我想现在我的问题就在这里，是不是不能随意增加代码段的大小，但是我增加后面数据段也出现这样的问题。很费解！希望坛主百忙之中能再指点一二，拜过了！ 2006-5-16 15:33 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 4 楼 Number Name VirtSize RVA PhysSize Offset Flag 1 .text 00002C1E 00001000 00003000 00001000 60000020 2 .rdata 00000898 00004000 00001000 00004000 40000040 3 .data 00000A1C 00005000 00001000 00005000 C0000040 4 .rsrc 00001000 00006000 00001000 00006000 40000040 上图是某个程序的区块表，你现在想增加.text大小，按你的意思是想将.text区块的PhysSize：3000，变成0x4000。你改后，势必影响后面的区块.rdata，.data,.rsrc。例如你改后，.rdata的RVA就会变成0x50000,而程序许多访问.rdata代码你也得修正，例如： call dword ptr [404044] //你得改成call dword ptr [405044] 还有其他一些数据变量等，因此说，你这想法是不现实的。 .rsrc 区块倒可以用一些资源工具移动。 2006-5-16 15:56 0
shirl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	shirl 5 楼听你这么一分析，我真的感到自己对pe格式还是有待更深入的了解啊！感谢大哥的赐教！拜过了！ 2006-5-16 18:35 0
aaaqaaaaa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	aaaqaaaaa 6 楼假如我重建重定向表，会不会可以解决问题？ 2007-3-9 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复