首页
社区
课程
招聘
[讨论][求助]这个PE文件是怎么修改的?入口处全部是0
发表于: 2007-12-27 16:11 7873

[讨论][求助]这个PE文件是怎么修改的?入口处全部是0

2007-12-27 16:11
7873
先申明,程序是可以正常运行的
这个PE文件是怎么修改的?入口处全部是0
OD无法调试,C32ASM也是,不知道这是怎么修改的

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 162
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
换个高点版本的peid吧
2007-12-27 17:35
0
雪    币: 198
活跃值: (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不是PEID版本的问题,即使换高版本,显示入口处也是一样的
2007-12-27 20:06
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
别理它,这种方式已经被报成病毒了
2007-12-27 20:16
0
雪    币: 1946
活跃值: (248)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
5
第3个字节改为CC
2007-12-27 20:20
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
6
把 oep 入口 改成a63e7 就可以了。
2007-12-27 20:58
0
雪    币: 198
活跃值: (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7

传到世界杀毒网测试,只有一小部分报毒
主要是好奇有什么手法修改PE的,又用什么方法可以对付这种修改PE的方法,让OD可以跑起来
2007-12-27 20:59
0
雪    币: 220
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
00400000 > $  4D                    dec     ebp
00400001   .  5A                    pop     edx
00400002   .  45                    inc     ebp
00400003   .  52                    push    edx
00400004   .  E9 DE 63 0A 00   jmp  004A63E7
2007-12-28 11:58
0
雪    币: 198
活跃值: (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
明白,谢谢
2007-12-28 21:46
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
我手里也有一个这样的...汗...
2008-1-15 16:52
0
雪    币: 150
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
明了 谢谢
2008-1-15 17:46
0
雪    币: 139
活跃值: (126)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
12
地址01C0是TLS(thread local storage)的Data Directory entry,而且非零,这样系统在完成初始化进程后,程序的第一个执行点就是TLS,然后才是PE Header里的Entry Point。如果TLS为零,程序就直接从PE Header里的Entry Point运行。

有些病毒和加密软件用这种办法隐藏入口点。多看看PE格式的说明,会有更多体会。

http://www.microsoft.com/whdc/system/platform/firmware/PECOFFdwn.mspx
2008-1-17 06:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
汗......没看明白......
2008-1-17 10:51
0
游客
登录 | 注册 方可回帖
返回
//