觀察PE文件結構

原創 跃然实验室 2019-06-11 22:56

 

 

一、觀察PE文件結構

 

     1、PEid:使用何種編譯器;使用PEid插件

 

 

     2、LordPE:是否有惡意性

          1)節分配:

               節名字是否規範

               標誌位:E開頭,則可執行

          2)入口點:

               0E000在最後一節,可能是病毒

          3)導入表:

               導入特定的函數,例如,沒有通信功能的軟件導入通信函數

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

【EXE PE】初識pe結構--手寫可執行程序

原文地址http://bbs.pediy.com/showthread.php?t=48590 【文章標題】: 手寫可執行程序 【文章作者】: dncwbc 【作者郵箱】: [email protected] 【作者QQ號】: 1824459

zfpigpig 2020-06-29 20:03:01

Windows BitLocker解鎖PE工具

常用筆記本的朋友肯定又遇到忘記的密碼的場景, 今天遇到指紋無法解鎖導致需要PIN解鎖,用PE嘗試修改密碼。發現硬盤有BitLocker加密,無法進行修改   嘗試各種方法,發現一款帶BitLocker解鎖工具純淨PE(只有解鎖BitLoc

瘦瘦的胖子 2020-07-07 13:16:41

防靜態跟蹤和防動態跟蹤

一 參考網址 反靜態分析和反動態跟蹤 二 靜態跟蹤概念 方法: 將關鍵代碼,藏起來或者加密.使得反彙編出來的程序中,看不到或者無法識別,則做到防靜態分析. 工具: IDA Pro可以將程序反彙編,查看其破解源碼. 三 逆向操作

学海无涯-学以致用 2020-07-07 06:52:24

移動重定位表到新增節

一、爲什麼要移動重定位表 數據目錄中的表是分散在各個節裏的,如果對節進行加密,操作系統找不到表,就無法加載程序。因此加密前要先把表移動到新的節裏。 二、怎麼移動 計算重定位表的大小,首先要遍歷重定位表,累加 SizeOfBlock

hambaga 2020-07-04 09:08:21

操作系統是如何使用重定位表的

一、重定位表的結構 重定位表是數據目錄中第6項,它的結構如圖示: 重定位表由多個塊(block)組成,每個塊內部由三部分組成——VirtualAddress、SizeOfBlock 和若干個2字節偏移。SizeOfBlock 表

hambaga 2020-07-04 09:08:21

導入表注入原理和C語言實現

一、導入表注入的原理 注入是把DLL加載到另一個進程的4GB地址空間中,實現方式有很多種,導入表注入是我學的第一種注入,是通過修改程序的導入表,把自己的DLL添加到導入表中,來實現這個目的。 導入表是連續存儲在節裏的,它後面還有其

hambaga 2020-07-04 09:08:21

移動導出表到新增節

一、爲什麼要移動導出表 移動導出表是指將導出表以及其內部的三張子表移動到新增節,這個操作是軟件加密的第一步。因爲軟件加密會把節進行加密,而數據目錄是在節裏的,加密後操作系統不認識了,因此我們要把數據目錄裏面的東西移動到一個新的節裏

hambaga 2020-07-04 09:08:21

PE格式詳細講解

PE是英文Portable Executable(可移植的執行體)的縮寫,從縮寫可以看出它是跨平臺的,即使在非intel的CPU上也能正常運行的。它是 Win32環境自身所帶的執行體文件格式。其實不光是EXE文件是PE格式,其它的一些重要

小狗狗的专栏 2020-06-26 22:29:07

PE 數字簽名

http://www.youdzone.com/signature.html  英文文章,介紹了證書與簽名的關係。 http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_sign

keidoekd2345 2020-06-25 06:31:55

PE:AddNewSection

DWORD AddNewSection(IN PVOID pFileBuffer, OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIM

zmmycsdn 2020-06-23 10:32:11

PE:copyBaseRelocation2NewSection

DWORD copyBaseRelocation2NewSection(IN PVOID pFileBuffer,OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader

zmmycsdn 2020-06-23 09:54:38

PE文件之miansha

首先來簡單瞭解一下殺毒軟件查殺病毒的原理,當前殺毒軟件對病毒的查殺主要有特徵代碼法和行爲監測法。其中前一個比較方法古老,又分爲文件查殺和內存查殺,殺毒軟件公司拿到病毒的樣本以後,定義一段病毒特徵碼到病毒庫中,然後與掃描的文件比對,如果一致

丸子头 2020-06-22 13:28:06

iczelion pe tut2

  Tutorial 2: Detecting a Valid PE File In this tutorial, we will learn how to check if a given file is a valid PE file

jimgreen 2020-06-21 15:30:52

iczelion pe tut4

  Tutorial 4: Optional Header We have learned about the DOS header and some members of the PE header. Here's the last,

jimgreen 2020-06-21 14:45:10

iczelion pe tutcn7

  PE教程7: Export Table(引出表) 上一課我們已經學習了動態聯接中關於引入表那部分知識,現在繼續另外一部分,那就是引出表。   理論: 當PE裝載器執行一個程序,它將相關DLLs都裝入該進程的地址空間。然後根據主程序的引

jimgreen 2020-06-21 14:45:08