本内容由系统网小编为大家分享，Windows系统安装教程、办公系统、软件怎么使用、软件使用教程、办公软件攻略等信息。

PE文件的基本结构图

第一个字段 4D 5A 指定为识别字符 " MZ ",而下一个字段则显示入口地址、堆叠位置和搬迁表位置。 PE 文档中最后一个 e_lfanew 字段很重要, 因为它指定了文档中真实 PE 文件页眉的位置, 该文件页眉总是以 8 字节对齐 。

判断是否是PE文件

从第一个4D 5A(MZ)文件开始,使用Winhex工具,即1.3C(即3C抵消);二. 如果你跳跃,您可以读取 00B0 的数据 。三号呼叫00B0四. 如果地址信息为5045(即PE),则该地址信息为便携式可执行文件。

导入表

导入表结构:

导入表&桥1&桥2位置

保重 WinHex在左边如：读值：2084使用下列软件: PEditor, WinHex1个WinHex发射,PE头被80H冲抵,从进口表格中取出RVA。二. 根据部分时间表(可在PEditor查阅),将RVA转换为FOA,WinHex跳到包含FOA20字节描述的圆页文件,见下文蓝色部分。FOA=（RVA-Virtual Offset)+Raw Offset节表结构如：

第一个字节是1号桥的RVA, 计算其FOA, 并跳到一个由4个字节组成的阵列, 每组FOA都跳到相关的函数上。第四位字节计算程序跳跃以赢得结果。DD,我不知道你在说什么。第五个字节是2RVA桥,该字节计算其FOA,进入2号桥的静点阵列。注意,二号桥不像静向阵列

导出表

导出表结构：

导出表位置

软件：WinHex一.PE出口到RVA表,抵消78H。2. 根据章节时间表将RVA改为FOA,然后跳到FOA。三. 开始计算与出口表数据结构相对应的匹配名称值,与出口表数据结构相对应的匹配名称值相对应。Office 地址计算 FOA, 跳跃到作为第一个 RVA 输出函数的值, 然后将其他三个函数地址的 RVA 值转换为其他三个地址的 RVA 值, 最后将 FOA 转换为函数名称 。名称Ordinal 地址与操作地址相似 。

出口函数覆盖有两种技术。

实现了动画开场效果。

(在出口结构中,功能输入地址已经修改。 )前两个函数FadeIn Open和Animat Open将被发现。二. 交换两个地址(exe file was really named Animate Open 当它们要重新命名 FadeIn Open时, exe 文件其实被命名为 Animate Open ) 。

Make 运行删除信件框

(取代淡开函数的指令代码)第一,找到在Winhex的Deginopen的地址 然后从那里修改二. 保留原基地地址。三,返回指令 保持仓库的平衡。执行用户32。 MessageboxA 检查缓冲区的地址,并用最佳的四字节函数反覆写。

练习题

一. 一个变量的FOA是 410H,哪个部分正在试验基础上分析(提供了分析程序)。变量的RVA是什么(请解释计算过程)?如你所见,文字从004开始, 大小从00200开始, 因此可变FOA是410H。因为400<410<600RVA = (410-400)+1000=1100H2. 获取信息,以迅速说明病毒在获取Kernel32模块基址方面的相关性。A: 找到内核32。 载荷激光器 () 和 GetProcAddress () 的地址可在 dll 基地地址获得。我们不必跟他们去寻找API使用 Kernel32. LoadLibrary 和 DLL 中的 GetProcAddress, 您可以访问在任何 DLL 中导出的任何函数到进程空间中指定的位置 。三,这是我第一次 能够进入第一个窗口 使用PEEDIOR。检查了PE进口表。导入表格中的 PE 文件与数据目录项目有什么区别?《VA》和进口表格的尺寸如何?EXE 使用了多少 DLL 文件?核查是否与在主编中发现的情况相符?

数据目录的导入表条目由 :80H 抵消;0084(RVA 2084;基准地址00400;VA = 基准地址RVA+)是VA和大小的进口表。FOA=RVA-虚拟离线+Raw offest=684;可能检测到跳到FOA(文件偏差);因为 binhex 打开并定位了进口表格匹配数组, 以三二十个连续字节排列, 然后到达整个零字节, EXE 用于三个 DLL 文件中 。一致!使用 Winhex 并评价函数名称和条目地址。 Draw 出口图表结构(如图2)分析：导出表：RVA:00002140,Vitual Offset:00002000,Raw Offset:800因此,FOA:940跳到940,这是出口表格的地址:以00作为标志录音时间和日期: 4D510EE00是Dll的首期号。二级版本的Dll号是00。Dll的模块名称(RVA)是002190, FOA是990, 跳到进入文件是WinBroad.com。0010是起点共有004个功能。有名共有004个功能。FAT表:002168 FOA(968)中RVA值(FAT),该值跳至968 地址值00101183。这是第一个出口功能RVA,其次是以下三个功能的RVA值:001,1022,001122和0011323。

正如主教所发现的那样:FAT表格:002178 FOA:(978)中RVA值(名称缩略语)获取地址00219E,拨978。第一个出口函数:00219E,FOA=99E第二个出口函数(0021AB)的RVA值:0021AB,FOA=9AB第三个出口函数:0021B7,FOA=9B7的RVA值第四个出口函数的RVA值:0021C2,FOA=9C2。查看偏移文件的函数名称 :五. Pedtior 从导出 RVA 的计算机上装载内核32. DLL 。 表格大小在导出时? 在没有进口表格的情况下, 此方法会找到两个函数的名称及其输入地址 。 (Using Winhex, 将Charlie 的内核32 复制到桌面 。 DLLRV:0092D30RV:0092D30;规模:00DC14;出口表RV:0092D30;出口表RV:00DC14;出口表RV:0092当获得内核32。 在Dll的基地地址之后,因此,可以使用负载Libray () 方法继续装入更动态的连接库。通过GetProcAdress () 方法获得相关的pi 函数地址符合可移动性标准。LoadLibray：GetProcAddress：6.出口函数覆盖有两种技术。-1更改 WinResult 。 dll 导出结构中的函数输入地址到达第一窗口. EXE, 它通过动画打开效果。 解释您做了什么 。将首先找到FadeIn Open and Animate Open:001022和001282。二. 交换两个地址(exe file was really named Animate Open 当它们要重新命名 FadeIn Open时, exe 文件其实被命名为 Animate Open ) 。

7.出口函数覆盖有两种技术。-2 （P166）以以下命令代码覆盖淡开函数: 运行第一个窗口。 EXE 程序会弹出一个消息框( OD 打开地址), 如下图所示 :。 Winhex 负载一赢Result. dll, 更改 FadeInOpen (文件启动偏移 0x0682) 宣布的函数 : 返回命令, 以保存原始基地址, 并保持键盘平衡 :原始得：修改后：

红框区域指用户322.dll 中的信件框A 地址; 您可以打开其他程序, 以导入信件框A 读取 OD 中的地址 。例如,在以前的工作中,Helloworld,留意温赫克斯!运行：

这些是PE文件中的一些评论,请您通过指南阅读。

XTw.com.Cn系统网专业应用软件下载教程，免费windows10系统,win11,办公软件,OA办公系统,OA软件,办公自动化软件,开源系统,移动办公软件等信息，解决一体化的办公方案。