逆向学习-Upack的PE文见头分析

Posted whitehawk

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了逆向学习-Upack的PE文见头分析相关的知识,希望对你有一定的参考价值。

重叠文件头

  MZ文件头与PE文件头重叠。

  offest 0  e_magic:magic number = 4D5A(‘MZ‘)

  offest 3C  e_lfanew:File address of new exe header

  技术图片

 

IMAGE_FILE_HEADER.SizeOfOptionalHeader

    修改此值,可以向文件头插入解码代码。

    增大此值,就在IMAGE_OPTIONAL_HEADER与IMAGE_SECTION_HEADER之间添加了额外空间。这个区域就被添加了解码代码。

IMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizes

    指出紧接在后面的IMAGE_DATA_DIRECTORY结构体数组的元素个数。UPack会减小IDD(IMAGE_DATA_DIRECTORY)的值。忽视后几个元素。

IMAGE_SECTION_HEADER

    在这个结构体中,UPack会把自身数据记录到程序运行不需要的项目。

重叠节区

   查看节区头

   技术图片

   第一节区,第三节区重叠。原文件被压缩在第二节区。

RVA to RAW

  计算EP的文件偏移量:技术图片RAW = 1018 -1000 + 10 = 28

  但是RAW 28不是代码区域。一般而言,PTRD(PointerToRawData)的值应该是FileAlignment的整数倍,所以此处被识别为0。重新计算RAW = 1018 - 1000 + 0 = 18。

导入表

  技术图片

  前四个字节是导入表的地址(RVA),后面四个字节是导入表的大小(Size)。RAW = 271EE - 27000 + 0 = 1EE。

导入地址表

  1EE  OriginalFirstThunk(INT)  0

  1FA  Name           2

  1FE  FirstThunk(IAT)     11E8

  技术图片

  Name的RVA值为2,属于Header区域。

  技术图片

  IAT的值为11E8,RAW = 11E8 - 1000 + 0 = 1E8

  技术图片

  00000028和000000BE处分别是两个API函数。

 

 

 

 

 

以上是关于逆向学习-Upack的PE文见头分析的主要内容,如果未能解决你的问题,请参考以下文章

第19章:Upack PE分析

逆向分析学习指南

2022年中职网络安全逆向题目整理合集

静态分析:IDA逆向代码段说明 textidatardatadata

《逆向工程核心原理》学习笔记:DLL注入

《逆向工程核心原理》学习笔记:DLL注入