随笔分类 - PE结构
window系统的可执行文件结构
摘要:在unpackme#1的破解中,涉及到修改PE文件。 其步骤是现在在text节的空白处填写代码,并在PE文件中修改执行OEP。 问题一 ee f8 01是怎么来的 je short 00401083是e9 96 01修改为ee f8 01的思路的关键是考虑到原有是经过加密,直接修改自己写的地址并非加
阅读全文
摘要:我们使用01Editor观察任意标准程序,比如笔记本notepad.exe。 在节NTHeader的DataDirArray的Import 我们得到 记录导入表的RVA:7604H。 虽然记录在VritualAddress的字段中但是值为RVA。 那么怎么得到导入表呢? 判断RVA所处的节并获取节的
阅读全文