《PE结构4-区段与代码类型.doc》由会员分享,可在线阅读,更多相关《PE结构4-区段与代码类型.doc(3页珍藏版)》请在金锄头文库上搜索。
1、甲壳虫免杀VIP教程专业的免杀技术培训基地我们的口号:绝对不一样的免杀教程!绝对不一样的实战体验!清晰的思路!细致全面的讲解!让你感到免杀原来可以这么简单!动画教程只是起到技术交流作用.请大家不用利用此方法对国内的网络做破坏.国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站无关.-【免杀PE结构班】 制作:Just41(carrieyz)第四节【PE文件常见区段及其代码类型】一、区段表的结构 PE文件格式中,所有的区段信息位于可选PE头之后。每个区段信息为40个字节长,并且没有任何填充信息。区段信息被定义为以下的结构:学名:免杀技术说明 大小 LOADPEName:区段名称
2、,如.text 8hSizeOfRawData:RVA偏移大小 4h VSize VirtualAddress:区段 RVA起始地址 4h VOffset PointerToRawData:区段物理偏移大小(偏移量) 4h RSizePhysicalAddress:区段物理起始地址 4h ROffsetVirtualSize:真实长度 4hPointerToRelocations:重定位的偏移 4hPointerToLinenumbers:行号表的偏移 4hNumberOfRelocations:重定位项数目 2hNumberOfLinenumbers:行号表的数目 2hCharacteris
3、tics:区段属性 4h 标志计算方式:区段表的文件偏移地址=PE头的文件偏移地址+14h+可选PE头大小+1首先从0X3Ch处得到PE头的文件偏移地址,然后由PE头的文件偏移地址+14h得到可选PE头大小,再将上面三个数据相加再+1就得到区段表的文件偏移地址了。VSize的大小只是效验下是否跨越下一个节了,或者是否超出了SizeOfImage,如果出现越界问题,提示非法32位应用程序,否则的话,它的值没有意义,节的大小不是由它决定的.对非最后一个节,按节间VOffset之差,最后一节用SizeOfImage-VOffset。二、PE文件常见区段及其代码类型 一个Windows NT的应用程序
4、典型地拥有9个预定义段,它们是: 常用区段名 区段类型 区段说明.text 代码区段 汇编语言.bss 未初始化区段 附加数据(某些配置信息).rdata 只读数据区段 输入、输出表.data 全局变量数据区段 字符串.rsrc 资源区段 资源信息.edata 只读数据区段 输出表.idata 只读数据区段 输入表.pdata 只读数据区段.debug 调试区段-.code .reloc 重定位表区段 重定位表其他加壳加密软件例子.upx UPX加壳.vmp VMP加密其中资源区段.rsrc(资源工具:ResourceHacker,FreeRes和eXeScope只识别其区段名)是判断某些木马
5、是否需要导出资源再进行免杀的关键。今后课程安排如下:免杀之PE结构 认识输入表并手动修改 认识输出表并手动修改 认识重定位表并手动修改 认识资源表并学会导入导出免杀之免杀方法 免杀前的特征码归类 汇编下修改特征码方法(N种) 字符串特征码修改方法 输入表特征码免杀方法作业:1)假如一个PE文件的0x3C处为40 00 00 00,0x54处为E8 00 8E 81,那么其区段表起始偏移地址为多少?2)以下区段名不符合要求的是: 1、.code 2、data_image 3、加花区段 4、.134217 5、.PE输入表 6、 7、JKS不错 8、.data3)某个PE文件的区段有2个,区段名分别是.rsrc和.reloc。请问,该区段有重定位表和可导出资源吗?为什么?参考答案请翻页参考答案:1) 0x13C。2) 2、5、83)不确定是否有重定位表和可导出资源,因为尽管一般情况下.rsrc表示为资源区段,.reloc表示为重定位区段,但是其区段名并不能代表该区段的属性,区段的属性还是由其代码的性质决定的。
