. : : Assembly Language : : .
|
首页
|
我提出的问题
|
我参与的问题
|
我的收藏
|
消息中心
|
游客 登录
|
刷新
|
提问
|
未解决
|
已解决
|
精华区
|
搜索
|
《汇编语言》论坛
->
汇编语言学习交流区
管理员:
assembly
[
回复本贴
]
[
收藏本贴
] [
管理本贴
] [
关闭窗口
]
主题 : :
看了两天两夜的PE文件结构了,连用手工的方法注入一条代码都成功不了
[待解决]
回复[
6
次 ] 点击[
494
次 ]
helloworld
[帖 主]
[ 发表时间:2007-10-27 20:37 ]
[
引用
]
[
回复
]
[
top
]
荣誉值:10
信誉值:6
注册日期:2007-10-20 14:34
真想撞墙去死了,下载回来的反编绎工具又不大会用,唯一的收获就是知道了怎么利用一个EXE文件的空隙来填垃圾,郁闷
happy
[第
1
楼]
[ 回复时间:2007-10-27 23:58 ]
[
引用
]
[
回复
]
[
top
]
荣誉值:32
信誉值:0
注册日期:2007-07-14 19:06
有收获就好,再接再厉!
dreamhk
[第
2
楼]
[ 回复时间:2007-10-31 12:30 ]
[
引用
]
[
回复
]
[
top
]
荣誉值:10
信誉值:13
注册日期:2007-10-05 16:58
winnt.h这个头文件有关于PE文件头的定义...熟练使用其中的结构.不过编程实现可能还是有点难度(PE文件中使用的是RAV地址,函数调用及返回地址要重新计算)
直接插入只要修改对应节表(数组结构)文件偏移量,虑拟偏移量就行了,写入.text段的话还需要修改其属性
helloworld
[第
3
楼]
[ 回复时间:2007-11-01 10:30 ]
[
引用
]
[
回复
]
[
top
]
荣誉值:10
信誉值:6
注册日期:2007-10-20 14:34
但是写入.text段的空位处,不需要修改其characteristics属性,这一点我试过了
倒是不明白我用od从xxxx835CH处写入汇编码,再用UltraEdit编辑时发现写入的地方是在xxxx7B5CH处的
dreamhk
[第
4
楼]
[ 回复时间:2007-11-01 12:26 ]
[
引用
]
[
回复
]
[
top
]
荣誉值:10
信誉值:13
注册日期:2007-10-05 16:58
嗯,直接修改不需要改.text段的属性,编程实现的话就需要了,呵呵,掌握了这个,其实就可以写个简单的感染型的病毒了
OD和UE的地址表示不一样....
我常用的是C32Asm和winHEX OD的功能很强大,还不太会用...
ybdesire
[第
5
楼]
[ 回复时间:2007-11-05 22:09 ]
[
引用
]
[
回复
]
[
top
]
荣誉值:0
信誉值:0
注册日期:2007-10-03 16:26
麻烦说下这个是怎么学的,谢谢
dianretan
[第
6
楼]
[ 回复时间:2007-12-28 22:22 ]
[
引用
]
[
回复
]
[
top
]
荣誉值:0
信誉值:0
注册日期:2007-12-28 21:50
相对虚拟地址和文件地址不同的,UltraEdit显示的是文件地址, OD里显示的RAV地址. 要转换一下.
PE结构好象用WIN32比较好理解吧.
需要登录后才能回帖 -->>
请单击此处登录
Copyright © 2006-2024 ASMEDU.NET All Rights Reserved