OD 实验 - 对 PE 结构的简单分析

Posted 2021-01-03 sch01ar

载入程序，按 Alt+M 查看内存空间

双击进入程序的 PE 头

这些为 DOS 环境下才会运行的

这个执行 PE 的地址，PE 结构的偏移地址为 C0

找到这个地址

以 PE 开头

SizeOfCode 为代码段的大小

SizeOfInitializedData 为所有含已初始化数据的块的大小

这两个值明显太大了，可能被恶意修改过了，可以把他们修改一下

右键 -> 二进制 -> 编辑，快捷键为 Ctrl+E

或者右键 -> 修改整数

SizeOfCode 可能为 400，SizeOfInitializedData 可能为 A00

BaseOfCode 代码段的起始偏移地址，此处应该为 1000

BaseOfData 数据段的起始偏移地址，此处应该为 2000

右键进行修改

用 VC 编译出来的程序，ImageBase 一般都为 400000

NumberOfRvaAndSizes 为数据目录表的尺寸，这个值默认为 0x10

该程序没有输出表，Export Table Address 应该改为 0，Export Table Size 也为 0

接下来保存文件

从最初修改的地址开始

为 004000DC

按 Ctrl+G 跟随表达式

输入地址，点击 OK

适量选取一段

右键 -> 复制到可执行文件

右键 -> 保存文件