系统相关
首页 > 系统相关> > PE头-关于内存地址反推和unpackme#1的应用

PE头-关于内存地址反推和unpackme#1的应用

作者:互联网

在unpackme#1的破解中,涉及到修改PE文件。

其步骤是现在在text节的空白处填写代码,并在PE文件中修改执行OEP。

 

问题一 ee f8 01是怎么来的

je short 00401083是e9 96 01修改为ee f8 01的思路的关键是考虑到原有是经过加密,直接修改自己写的地址并非加密的,执行时是会出现错误,所以要针对的异或加密。

 

问题二 如何确定要修改的地址

内存中地址要反推到PE文件的值。

起始值:确定起始内存地址

偏差值:当前地址减去起始地址

       节:确定节的位置,根据PE文件中节VA的定义判断

偏移值:节-VA

具体值:再根据PointerToRawData+偏移值

如果存在重定位等问题时,则是根据具体的起始内存开始计算,只不过计算的是相对值,

标签:01,unpackme,起始,反推,修改,地址,PE,加密
来源: https://www.cnblogs.com/T-ARF/p/16226795.html