PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。 首先我们先来演示一下内存VA地址与FOA地址
使用dnspy. 打开程序目录下的dll文件 : Lunacy.License 找到类: Lunacy.License.AssetsLicense 更改如下2个方法. 保存模块. 重新打开软件,即可另存图标. // Lunacy.License.AssetsLicense // Token: 0x0600006E RID: 110 RVA: 0x00002976 File Offset: 0x00000B76 public b
最近在重读加密与解密因此写下相关笔记和感悟方便以后使用 随书文件 https://book.pediy.com/bk4.txt PE结构 基地址 VCexe一般基址是400000h DLL一般是10000000H 虚拟地址 VA virtual address 相对虚拟地址 RVA 相对于pe载入地址 RVA转FOV 判断RVA在哪个区内 用RVA减去该区VA加
我们使用01Editor观察任意标准程序,比如笔记本notepad.exe。 在节NTHeader的DataDirArray的Import 我们得到 记录导入表的RVA:7604H。 虽然记录在VritualAddress的字段中但是值为RVA。 那么怎么得到导入表呢? 判断RVA所处的节并获取节的ViatualAddress 计算RVA与RVA所处的节
写在前面 此系列是本人一个字一个字码出来的,包括代码实现和效果截图。 如有好的建议,欢迎反馈。码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作。如想转载,请把我的转载信息附在文章后面,并声明我的个人信息和本人博客地址即可,但必须事先通知我。 你如果是从中间
前面好几篇在讲输入表,今天要讲的是输出表和地址的是地址重定位。有了前面的基础,其实对于怎么找输出表地址重定位的表已经非常熟悉了。 0x01 输出表结构 当创建一个DLL文件时,实际上创建了一组能让EXE或者其他DLL调用的一组函数,PE装载器根据DLL文件中输出信息修正正在执行文
需求拆解: 能够把内存地址转换为硬盘文件,即RVA = > FOA的转换能够记录和编辑加密代码重定位问题能够自动对加密代码写入跳转数据游戏扩展插件能够自动加载释放保护数据 RVA:内存相对地址(相对模块基址VA - BASE) VA :内存里的地址 FOA:硬盘里的地址(文件偏移) 内存制作工艺和硬盘制作工
RAV to RAW 学习《逆向工程核心原理》笔记 参考:https://tech-zealots.com/malware-analysis/understanding-concepts-of-va-rva-and-offset/ 名词介绍 Relative Virtual Address (RVA) VA指的是虚拟内存绝对地址 Relative Virtual Address (RVA) 指从某个基准位置(ImageBase)开始的
逆向脱壳实训 #2 手脱FSG及寻找IAT 文章目录 逆向脱壳实训 #2 手脱FSG及寻找IAT环境 & 工具脱壳单步跟踪查壳OEP寻找IAT校准 之前的ASPACK和NSPACK跟UPX脱起来差不多,就没有再写文章记录 但FSG相对前三者无论是在脱壳上还是在修复上都有了不小的差别,所以记录下手脱的
_IMAGE_EXPORT_DIRECTORY 这个结构体 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersion; DWORD Name; DWORD Base; DWORD NumberOfFunctions; DWO
移动各种表的原因: 实现代码如下: void MoveExportTable(PVOID pFileBuffer,PDWORD OldBufferSize,PVOID* pNewBuffer){ PIMAGE_DOS_HEADER pImageDosHeader = NULL; PIMAGE_FILE_HEADER pImageFileHeader = NULL; PIMAGE_OPTIONAL_HEADER32 pImageOptionalHeader = NULL; PIMA
问题背景解决方法总结 阅读之前注意: 本文阅读建议用时:5min 本文阅读结构如下表: 项目下属项目测试用例数量问题背景无0解决方法无0总结无0 问题背景 拜读《0day安全:软件漏洞分析技术》(第2版)时,看到了文件偏移的计算方法: 相对内存偏移(RVA) = 内存地址 - 加载基址 节偏移 =
#define SIZEOF_SECTIONHEADER 0x28 DWORD RVA_To_FOA(LPVOID lpImageBase, DWORD dwImageRVA) { //1.判断文件对齐与内存对齐是否一样 判断 dwRVA与ImageBase的大小 是否为正确的虚拟地址 //2.获得在内存中的RVA (dwVirtualAddress-dwImageBase) //3.判断RVA在
查看PE文件的导入目录表(IDT) 1.查看PE文件的IDT,每一个DLL对应一个IID(20个字节,十六进制下为14),如果原IDT有足够空间,则可以直接在原IDT后面添加DLL,如果没有足够空间,那么需要将IDT迁移至程序空白区域。一个IDT包含多个IID,最后是一个20字节的空白区域,所以说足够空间的意思就是当你加入
PE文件加载带内存中的时候 都存在文件到内存的映射 RVA 相对虚拟地址 当文件到内存的映射关系如下时 1.当RVA相对偏移地址为5000时,求文件偏移 5000-1000(因为在第一个节区)+400 公式
在PE文件结构中偏移互转,前面的几篇文章中,有提到手动转换,具体如下。 https://www.cnblogs.com/LyShark/p/11790308.html https://www.cnblogs.com/LyShark/p/11748296.html 编程转换,就是在这个基础上进行的,很简单。
手工 编译一个带有全局变量的exe 这是代码 #include <stdio.h> int globalVar = 0x12345678; void main() { printf("globalVar = %x, RVA=%x\n",globalVar,&globalVar); //RVA=424a30 | FOA=424a30-400000=24a30 } 打印出来的是全局变量globalVar 在内存中的地址 VA=424a30
PE文件介绍 PE文件主要是windows操作系统下使用的可执行文件格式,PE文件是指32位的可执行文件也叫做PE32,64位可执行文件叫做PE+或者PE32+ PE文件格式 种类 主扩展名 可执行类型 EXE,SCR 驱动程序类型 SYS,VXD 库系列 DLL,OCX,CPL,DRV 对象文件系统 OBJ PE文件种
一丶VA概念 VA (virtual Address) 虚拟地址的意思 ,比如随便打开一个PE,找下它的虚拟地址 这边都是. 二丶模块地址(image Base) 模块地址,就是exe加载到内存的时候,所在的地址, 比如MZ位置,在那个位置,那么对应模块地址就是这个位置 在OD中的内存中查看就是PE头 三丶RVA(re
背景介绍 随着手游的发展,随之而来的手游逆向破解技术也越来越成熟,尤其是Andorid方面,各种破解文章比比皆是,相对而言,iOS方面关于手游的逆向分析文章比较少,网易易盾移动安全专家吕鑫垚将通过分析一款unity游戏和一款cocos-lua游戏来剖析一般向的游戏破解及保护思路。 识别Unity游戏 iO
