首页 > TAG信息列表 > UPack
《逆向工程核心原理》第18.19章——UPack PE文件头详细描述、UPack调试——查找EOP
UPack PE文件头详细描述 UPack说明比较PE文件头重叠文件头IMAGE_FILE_HEADER.SizeOfOptionalHeaderIMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizesIMAGE_SECTION_HEADER重叠节区RVA to RAW导入表(IMAGE_IMPORT_DESCRIPTOR array)导入地址表 INT与IAT到底有什么区别呢?UPack调试—逆向工程核心原理——第十八章
分析upack壳 我们使用add.exe文件 我们将add.exe文件拖入upack加壳工具,这里的版本是0.39final,LC选择6: 点击确定后得到add.exe.bak的文件,我们去掉.bak后就可以直接使用了,这里为了区分,我将加壳后的文件取名为add_upack_6.exe。 首先我们先使用hex浏览器查看加壳和没加壳的区别吧:第19章:寻找UPack OEP
PE头在进程装载的时候使用格式比较固定,从中找到需要的信息后不必过多关注,只需要找到还原后的节区体即可。 从文件中的EntryPoint找到进程入口: 占用不需要的元素,其在节区如下区域中插入代码: 蓝色框中是可选头所占区域,其余的到16F为多余的区域。 这条命令将ESI所指的区域中的27