[讨论][求助]这个PE文件是怎么修改的?入口处全部是0-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
随风而飘雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 136 粉丝 0 关注私信	随风而飘 2 楼换个高点版本的peid吧 2007-12-27 17:35 0
balini 雪币： 198 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 102 粉丝 0 关注私信	balini 3 楼不是PEID版本的问题,即使换高版本，显示入口处也是一样的 2007-12-27 20:06 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 4 楼别理它,这种方式已经被报成病毒了 2007-12-27 20:16 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 5 楼第3个字节改为CC 2007-12-27 20:20 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼把 oep 入口改成a63e7 就可以了。 2007-12-27 20:58 0
balini 雪币： 198 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 102 粉丝 0 关注私信	balini 7 楼传到世界杀毒网测试，只有一小部分报毒主要是好奇有什么手法修改PE的，又用什么方法可以对付这种修改PE的方法，让OD可以跑起来 2007-12-27 20:59 0
compiler 雪币： 220 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 132 粉丝 0 关注私信	compiler 8 楼 00400000 > $ 4D dec ebp 00400001 . 5A pop edx 00400002 . 45 inc ebp 00400003 . 52 push edx 00400004 . E9 DE 63 0A 00 jmp 004A63E7 2007-12-28 11:58 0
balini 雪币： 198 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 102 粉丝 0 关注私信	balini 9 楼明白，谢谢 2007-12-28 21:46 0
aopen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	aopen 10 楼我手里也有一个这样的...汗... 2008-1-15 16:52 0
kkkksoft 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	kkkksoft 11 楼明了谢谢 2008-1-15 17:46 0
bookworm 雪币： 139 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 20 回帖 105 粉丝 0 关注私信	bookworm 3 12 楼地址01C0是TLS（thread local storage）的Data Directory entry，而且非零，这样系统在完成初始化进程后，程序的第一个执行点就是TLS，然后才是PE Header里的Entry Point。如果TLS为零，程序就直接从PE Header里的Entry Point运行。有些病毒和加密软件用这种办法隐藏入口点。多看看PE格式的说明，会有更多体会。 http://www.microsoft.com/whdc/system/platform/firmware/PECOFFdwn.mspx 2008-1-17 06:32 0
xhqlxy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	xhqlxy 13 楼汗......没看明白...... 2008-1-17 10:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
随风而飘雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 136 粉丝 0 关注私信	随风而飘 2 楼换个高点版本的peid吧 2007-12-27 17:35 0
balini 雪币： 198 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 102 粉丝 0 关注私信	balini 3 楼不是PEID版本的问题,即使换高版本，显示入口处也是一样的 2007-12-27 20:06 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 4 楼别理它,这种方式已经被报成病毒了 2007-12-27 20:16 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 5 楼第3个字节改为CC 2007-12-27 20:20 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼把 oep 入口改成a63e7 就可以了。 2007-12-27 20:58 0
balini 雪币： 198 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 102 粉丝 0 关注私信	balini 7 楼传到世界杀毒网测试，只有一小部分报毒主要是好奇有什么手法修改PE的，又用什么方法可以对付这种修改PE的方法，让OD可以跑起来 2007-12-27 20:59 0
compiler 雪币： 220 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 132 粉丝 0 关注私信	compiler 8 楼 00400000 > $ 4D dec ebp 00400001 . 5A pop edx 00400002 . 45 inc ebp 00400003 . 52 push edx 00400004 . E9 DE 63 0A 00 jmp 004A63E7 2007-12-28 11:58 0
balini 雪币： 198 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 102 粉丝 0 关注私信	balini 9 楼明白，谢谢 2007-12-28 21:46 0
aopen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	aopen 10 楼我手里也有一个这样的...汗... 2008-1-15 16:52 0
kkkksoft 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	kkkksoft 11 楼明了谢谢 2008-1-15 17:46 0
bookworm 雪币： 139 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 20 回帖 105 粉丝 0 关注私信	bookworm 3 12 楼地址01C0是TLS（thread local storage）的Data Directory entry，而且非零，这样系统在完成初始化进程后，程序的第一个执行点就是TLS，然后才是PE Header里的Entry Point。如果TLS为零，程序就直接从PE Header里的Entry Point运行。有些病毒和加密软件用这种办法隐藏入口点。多看看PE格式的说明，会有更多体会。 http://www.microsoft.com/whdc/system/platform/firmware/PECOFFdwn.mspx 2008-1-17 06:32 0
xhqlxy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	xhqlxy 13 楼汗......没看明白...... 2008-1-17 10:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复