PE头-关于内存地址反推和unpackme#1的应用
作者:互联网
在unpackme#1的破解中,涉及到修改PE文件。
其步骤是现在在text节的空白处填写代码,并在PE文件中修改执行OEP。
问题一 ee f8 01是怎么来的
je short 00401083是e9 96 01修改为ee f8 01的思路的关键是考虑到原有是经过加密,直接修改自己写的地址并非加密的,执行时是会出现错误,所以要针对的异或加密。
问题二 如何确定要修改的地址
内存中地址要反推到PE文件的值。
起始值:确定起始内存地址
偏差值:当前地址减去起始地址
节:确定节的位置,根据PE文件中节VA的定义判断
偏移值:节-VA
具体值:再根据PointerToRawData+偏移值
如果存在重定位等问题时,则是根据具体的起始内存开始计算,只不过计算的是相对值,
标签:01,unpackme,起始,反推,修改,地址,PE,加密 来源: https://www.cnblogs.com/T-ARF/p/16226795.html