很早以前就拜讀了A1Pass得手工構造PE文件一文,可是一直沒有去動手實踐下,寒假本來想寫個PE分析工具結果愣是發現自己PE結構都忘得毛都沒了。。。so 蛋疼
今天就參考該文來自己手動構造一個。
這裏先提個問題,WinMain函數是符合_stdcall調用約定的,我們都知道winmain接收四個參數,這四個參數的堆棧是有誰來清理呢?理論上應該是系統吧,但是調試程序最後總會發現個
00401000 >/$ 33C0 XOR EAX,EAX
00401002 \. C2 1000 RETN 10
關於系統知識還是瞭解的太少,求指教。
就照着一張PE結構圖寫,不會的就去查,在狠點直接寫個現成的程序十六進制編輯下照着填。。。
寫入代碼的大小 19h
00401000 >/$ 6A 00 PUSH 0 ; /Style = MB_OK|MB_APPLMODAL
00401002 |. 68 08304000 PUSH hello_wo.00403008 ; |Title = "Evil0r"
00401007 |. 68 00304000 PUSH hello_wo.00403000 ; |Text = "hello"
0040100C |. 6A 00 PUSH 0 ; |hOwner = NULL
0040100E |. FF15 00204000 CALL DWORD PTR DS:[<&USER32.MessageBoxA>>; \MessageBoxA
00401014 |. 33C0 XOR EAX,EAX
00401016 \. C2 1000 RETN 10
就是在C32裏面輸入16進制,好煩,要有耐心。我弄完之後看了下大小是2K,三個區段,文件對其200h,實現彈出一個對話框。好歹又熟悉了下PE啊。。。
補圖。
關於有幾個字段的意思還不是很懂要記得去查,吃飯去了,老媽煩死了。