模拟cff解析.net pe文件-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
chinarenjf 雪币： 6772 活跃值： (3689) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 228 粉丝 0 关注私信	chinarenjf (+500.00雪花) 2 楼 using dnlib.DotNet; namespace test1 { class Program { static void Main(string[] args) { ModuleDefMD module = ModuleDefMD.Load("AppCallDll2.exe"); string i=module.MetaData.PEImage .ToFileOffset(module.EntryPoint.RVA ).ToString () ; foreach (var type in module.GetTypes()) { foreach (var method in type.Methods) { var os = module.MetaData.PEImage.ToFileOffset(method.RVA); if (IsTiny(method )) os = os + 1; else os = os + 12; } } } private static bool IsTiny(MethodDef mbd) { if (mbd.Body == null) return false; if (mbd.Body .MaxStack > 8) return false; if (mbd.Body .Variables .Count > 0) return false; if (mbd.Body.ExceptionHandlers .Count > 0) return false; if (mbd.Body.Instructions .Count > 63) return false; return true; } } } 最后于 2020-12-25 13:31 被chinarenjf编辑，原因：上传的附件： test1.zip （355.11kb，4次下载） 2020-12-25 12:50 (+500.00雪花) 0
chinarenjf 雪币： 6772 活跃值： (3689) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 228 粉丝 0 关注私信	chinarenjf 3 楼添加dnlib引用,然后就可以了,看附件. 最后于 2020-12-25 12:53 被chinarenjf编辑，原因： 2020-12-25 12:51 0
开心的马甲雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	开心的马甲 4 楼 wormfox hex(0x00002068-0x2000+0x200)'0x268' 最后于 2020-12-26 00:31 被开心的马甲编辑，原因： 2020-12-25 21:37 0
开心的马甲雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	开心的马甲 5 楼 wormfox  hex(0x00002068-0x2000+0x200)'0x268' 不好意思，引用错 2020-12-25 21:38 0
开心的马甲雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	开心的马甲 6 楼 chinarenjf using dnlib.DotNet; namespace test1 {    &nbsp ... 不好意思让久等了，因为我白开比较忙，没时间看，实在抱歉哈，最后于 2020-12-26 00:35 被开心的马甲编辑，原因： 2020-12-25 21:38 0
开心的马甲雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	开心的马甲 7 楼 chinarenjf 添加dnlib引用,然后就可以了,看附件. 谢谢您的帮忙，帖子我先结给你，有时间的话，帮忙回我一下，初学者，多多关照.... 2020-12-25 21:42 0
开心的马甲雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	开心的马甲 8 楼 wormfox  hex(0x00002068-0x2000+0x200)'0x268' 这个方法在.net pe中好像不对，也可能是我们测试的问题，谢谢帮忙. 2020-12-25 21:45 0
chinarenjf 雪币： 6772 活跃值： (3689) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 228 粉丝 0 关注私信	chinarenjf 9 楼开心的马甲谢谢您的帮忙，帖子我先结给你，有时间的话，帮忙回我一下，初学者，多多关照.... ILHeader 分两种模式 Tiny的和 Fat的，Tiny的Header只有1字节，Fat的Header有12字节。 Tiny 是指那些长度在 64 bytes 以内，没有 Local Variables，没有异常处理，没有附加数据段，MaxStackSize 不大于 8 2020-12-25 23:13 0
开心的马甲雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	开心的马甲 10 楼 chinarenjf ILHeader 分两种模式 Tiny的和 Fat的，Tiny的Header只有1字节，Fat的Header有12字节。 Tiny 是指那些长度在 64 bytes 以内，没有 Local Var ... 谢谢啦，早点休息 2020-12-26 00:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chinarenjf

雪币： 6772

活跃值： (3689)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

228

粉丝

0

关注

私信

chinarenjf: (+500.00雪花)
2 楼

using dnlib.DotNet;

namespace test1
{
    class Program
    {
        static void Main(string[] args)
        {
            ModuleDefMD module = ModuleDefMD.Load("AppCallDll2.exe");
            string   i=module.MetaData.PEImage .ToFileOffset(module.EntryPoint.RVA ).ToString () ;
            foreach (var type in module.GetTypes())
            {
                foreach (var method in type.Methods)
                {
                    var os = module.MetaData.PEImage.ToFileOffset(method.RVA);
                    if (IsTiny(method ))
                        os = os + 1;
                    else
                        os = os + 12;
                }
            }
        }
        private static bool IsTiny(MethodDef mbd)
        {
            if (mbd.Body == null)
                return false;
            if (mbd.Body .MaxStack  > 8)
                return false;
            if (mbd.Body .Variables .Count > 0)
                return false;
            if (mbd.Body.ExceptionHandlers .Count > 0)
                return false;
            if (mbd.Body.Instructions .Count > 63)
                return false;
            return true;
        }

    }
}

最后于 2020-12-25 13:31 被chinarenjf编辑，原因：

上传的附件：