首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]PE 文件格式启发式学习(以hello.exe 为例)(5.15更新)
发表于: 2008-5-11 21:16 70256

[原创]PE 文件格式启发式学习(以hello.exe 为例)(5.15更新)

hjjdebug 活跃值
3
2008-5-11 21:16
70256

查看主题内容

收藏
免费 7
支持
分享
最新回复 (88)
olsxh
雪    币: 1072
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
51
这种教学方法满不错的,设计的多数问题都是大家要问的!!谢谢了!!
2008-6-16 12:57
0
fulee
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
52
不错,很详细!
2008-6-17 10:22
0
ljfhacker
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
53
好东西啊!~~~~~~
2008-6-17 14:14
0
wowzjj
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
54
从RVA 到 OFFSET, 我们好像还没有讲呢,就在这里补上吧。
从RVA 到 OFFSET 没有一个简单的公式,唯一的办法就是查表。
查什么表,查section header 表。
已hello.exe 为例,我们查表,看到205c 落入.rdata 节,该节的虚拟地址(就是内存地址)0x2000
对应文件偏移0600,那么205c, 则对应文件偏移的065c.

能详细讲解一下是怎么换算来的吗?
2008-6-20 19:17
0
zlty
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
55
同样疑惑

看到205c 落入.rdata 节,该节的虚拟地址(就是内存地址)0x2000
对应文件偏移0600,那么205c, 则对应文件偏移的065c.
2008-6-20 20:00
0
glueshred
雪    币: 191
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
56
看得我头都大了。呵呵。。先休息下。。。
2008-6-21 16:48
0
金子jinzi
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
57
支持啊 好东西谢谢了啊
2008-6-25 08:37
0
迷茫小猪
雪    币: 193
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
58
能否最最基础的开始啊?
2008-6-25 10:51
0
xjmengkx
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
59
多谢老大的辛苦劳动
2008-6-28 10:19
0
zywen
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
60
不错的东西,适合我这样的菜鸟~!
2008-7-5 12:06
0
awshome
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
61
不错,我又学了一遍。巩固了一下!
2008-7-5 17:21
0
singyys
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
62
谢谢,学习了
2008-7-9 16:10
0
lixupeng
雪    币: 563
活跃值: (95)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
63
好文章学习
2008-7-9 19:25
0
wlkcrq
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
64
不错,很生动!!
2008-7-11 02:09
0
awshome
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
65
楼主这里说的不好,地址600的位置应该是IAT目录(IMAGE_DATA_DERECTORY中第13个)指向的位置.刚好是16字节.IAT表是可以补PE加载器修改的.会用真实的函数地址替换.
楼主应该结合IAT讲给大家.这样比较好懂.
2008-7-11 15:23
0
学编程
雪    币: 163
活跃值: (1538)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
66
好帖,对PE有点认识了.
2008-7-12 11:10
0
fugue
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
67
很好,慢慢学习
2008-7-16 23:13
0
发xing
雪    币: 239
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
68
感谢楼主的分享,我收藏起来好好看
2008-7-17 19:33
0
tiegux
雪    币: 242
活跃值: (26)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
69
谢谢楼主的工作 保存下来慢慢看
2008-8-30 20:59
0
jhwl
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
70
说的很详细,不错的教程
2009-1-9 16:28
0
howdyhappy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
71
先收藏,再慢慢看
2009-1-9 23:24
0
轩辕剑syz
雪    币: 154
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
72
呵呵,还是有点难呢,之前我还该看什么呢?
2009-1-26 02:41
0
zm马萧
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
73
感谢楼主的无私奉献,PE这块知识,我已经看了不少,但都不太明白。。。你的讲解让我收获不少
2009-2-21 18:38
0
rerefrancd
雪    币: 314
活跃值: (271)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
74
加油看,!在
2009-10-9 15:06
0
softwin
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
75
谢谢!!!!!!
2010-3-8 16:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//