PE头-关于内存地址反推和unpackme#1的应用
2022/5/6 7:12:54
本文主要是介绍PE头-关于内存地址反推和unpackme#1的应用,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
在unpackme#1的破解中,涉及到修改PE文件。
其步骤是现在在text节的空白处填写代码,并在PE文件中修改执行OEP。
问题一 ee f8 01是怎么来的
je short 00401083是e9 96 01修改为ee f8 01的思路的关键是考虑到原有是经过加密,直接修改自己写的地址并非加密的,执行时是会出现错误,所以要针对的异或加密。
问题二 如何确定要修改的地址
内存中地址要反推到PE文件的值。
起始值:确定起始内存地址
偏差值:当前地址减去起始地址
节:确定节的位置,根据PE文件中节VA的定义判断
偏移值:节-VA
具体值:再根据PointerToRawData+偏移值
如果存在重定位等问题时,则是根据具体的起始内存开始计算,只不过计算的是相对值,
这篇关于PE头-关于内存地址反推和unpackme#1的应用的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-05-04安装 VPrix Desktop 的系统要求-icode9专业技术文章分享
- 2024-05-01巧用 TiCDC Syncpoint 构建银行实时交易和准实时计算一体化架构
- 2024-05-01银行核心背后的落地工程体系丨Oracle - TiDB 数据迁移详解
- 2024-04-26高性能表格工具VTable总体构成-icode9专业技术文章分享
- 2024-04-16软路由代理问题, tg 无法代理问题-icode9专业技术文章分享
- 2024-04-16程序猿用什么锅-icode9专业技术文章分享
- 2024-04-16自建 NAS 的方案-icode9专业技术文章分享
- 2024-04-14ansible 在远程主机上执行脚本,并传入参数-icode9专业技术文章分享
- 2024-04-14ansible 在远程主机上执行脚本,并传入参数, 加上remote_src: yes 配置-icode9专业技术文章分享
- 2024-04-14ansible 检测远程主机的8080端口,如果关闭,则echo 进程已关闭-icode9专业技术文章分享