-
-
[原创]菜农学习PE文件结构毕业小结
-
发表于: 2022-9-7 14:32
-
菜农学习PE文件结构结束。
通过自己编写代码(比下载软件用印象深刻),全部实现了CFF的功能,而且比它更完美,因为文件的全部地址都在中括号里。很方便在文件里直接找。
菜农学习后感觉有两点可用:
1.创建时间(有两个)可以利用,因为文件本身有创建时间,但是可以改写。
而PE文件里这个创建时间有所不同,它可以用CRC保护不被篡改,故可以作为文件的“指纹”,即密钥。
因为它是个纯数字,故可以生成本地时间字符串(年月日,时分秒)。
故此数字和字符串是互为可逆的关系,即可以作为密码使用。
2.导出函数地址(指针)数组也可以利用,它有三个数组。那么就可以对它们进行散列(打乱)。在注册成功后加载可以重新组装。
3.有两处存放CRC的地方,目前发现在windows下没有(不知linux和macos的和mach-o是否验证)。
那么就可以作为存放CRC初值的地方。(菜农早已经论证存放初值比校验和安全太多)。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2022-9-7 14:54
被HotPower编辑
,原因:
