随笔分类 -  PE结构

window系统的可执行文件结构
摘要:在unpackme#1的破解中,涉及到修改PE文件。 其步骤是现在在text节的空白处填写代码,并在PE文件中修改执行OEP。 问题一 ee f8 01是怎么来的 je short 00401083是e9 96 01修改为ee f8 01的思路的关键是考虑到原有是经过加密,直接修改自己写的地址并非加 阅读全文
posted @ 2022-05-05 22:52 ARM830 阅读(85) 评论(0) 推荐(0) 编辑
摘要:我们使用01Editor观察任意标准程序,比如笔记本notepad.exe。 在节NTHeader的DataDirArray的Import 我们得到 记录导入表的RVA:7604H。 虽然记录在VritualAddress的字段中但是值为RVA。 那么怎么得到导入表呢? 判断RVA所处的节并获取节的 阅读全文
posted @ 2022-05-01 21:48 ARM830 阅读(143) 评论(0) 推荐(0) 编辑