從可執行文件中刪除.reloc節區

原創 你的名字5686 2020-02-22 00:51

從可執行文件中刪除.reloc節區

.reloc節區

  • EXE形式的PE文件中“.reloc”項對運行沒什麼影響
  • 對DLL和SYS而言“.reloc”項則是必須的
  • .reloc一般位於所有節區的最後

reloc.exe

刪除.reloc節區的步驟:

  • 刪除.reloc節區頭
  • 刪除.reloc節區
  • 修改IMAGE_FILE_HEADER
  • 修改IMAGE_OPTIONAL_HEADER

刪除.reloc節區頭

通過PEView查看:
在這裏插入圖片描述
通過HEX Editor將其用0填充:
在這裏插入圖片描述
在這裏插入圖片描述

刪除.reloc節區

文件中.reloc 節區的起始偏移地址爲C000,將其全部刪除:
在這裏插入圖片描述

修改IMAGE_FILE_HEADER

需要修改的項包括:

  • NumberOfSections:刪除一個節區所以應該減1
    在這裏插入圖片描述
    在這裏插入圖片描述
    在這裏插入圖片描述

修改IMAGE_OPTIONAL_HEADER

需要修改的項包括:

  • SizeOfImage:刪除.reloc節區後,映射大小隨之改變
    在這裏插入圖片描述
    .reloc的大小爲E40,根據SectionAlignment將其擴展爲1000,所以需要減去1000:
    在這裏插入圖片描述
    在這裏插入圖片描述
參考文獻

《逆向工程核心原理》

你的名字5686
發佈了94 篇原創文章 · 獲贊 21 · 訪問量 1萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

abex' crackme #2

abex' crackme #2運行abex' crackme #2VB文件的特徵調試參考文獻 運行abex’ crackme #2 VB文件的特徵 VB文件可以編譯爲本地代碼(N code)以及僞代碼(P code),本地代

你的名字5686 2020-06-17 12:19:32

UPack PE頭文件分析

UPack PE頭文件分析Stud_PE比較PE頭文件原始的PE文件頭UPack後的PE文件頭分析UPack的PE文件頭重疊文件頭IMAGE_FILE_HEADER.SizeOfOptionalHeaderIMAGE_OPTION

你的名字5686 2020-06-17 11:30:11

運行時壓縮

運行時壓縮數據壓縮無損壓縮有損壓縮運行時壓縮器壓縮器保護器運行時壓縮測試調試notepad.exe的EP代碼notepad_upx.exe的EP代碼參考文獻 數據壓縮 無損壓縮 無損壓縮:經過壓縮的文件能100%恢復 有損壓縮 有

你的名字5686 2020-06-17 11:30:11

關於逆向工程

關於逆向工程逆向工程代碼逆向工程逆向分析的方法靜態分析動態分析源代碼、十六進制代碼、彙編代碼“打補丁”與“破解”參考文獻 逆向工程 逆向工程(RE):一般指通過分析物體、設備或系統瞭解其結構、功能以及行爲等,掌握其中的原理並改善不

你的名字5686 2020-06-17 11:30:11

IA-32寄存器基礎

你的名字5686 2020-02-22 00:51:22

小端序標記法

你的名字5686 2020-02-22 00:51:22

UPack調試——查找OEP

你的名字5686 2020-02-22 00:51:22

分析abex' creakme #1

你的名字5686 2020-02-22 00:51:22

函數調用約定

你的名字5686 2020-02-22 00:51:21

PE文件格式

你的名字5686 2020-02-22 00:51:21

棧幀

你的名字5686 2020-02-22 00:51:21

基址重定位表

你的名字5686 2020-02-22 00:51:21

內嵌補丁

你的名字5686 2020-02-22 00:51:21

DLL注入

你的名字5686 2020-02-22 00:51:21

DLL卸載

你的名字5686 2020-02-22 00:51:20