甲壳虫免杀VIP教程 vip.jksing.com
专业的免杀技术培训基地
我们的口号:绝对不一样的免杀教程!绝对不一样的实战体验!清晰的思路!细致全面的讲解!让你感到免杀原来可以这么简单!
动画教程只是起到技术交流作用.请大家不用利用此方法对国内的网络做破坏. 国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站无关.
-------------------------------------------------------------------- 【免杀PE结构班】 制作:Just41(carrieyz)
第四节【PE文件常见区段及其代码类型】
一、区段表的结构
PE文件格式中,所有的区段信息位于可选PE头之后。每个区段信息为40个字节长,并且没有任何填充信息。区段信息被定义为以下的结构: 学名:免杀技术说明 大小 LOADPE Name:区段名称,如\ [8h]
SizeOfRawData:RVA偏移大小 [4h] VSize VirtualAddress:区段 RVA起始地址 [4h] VOffset PointerToRawData:区段物理偏移大小(偏移量) [4h] RSize PhysicalAddress:区段物理起始地址 [4h] ROffset VirtualSize:真实长度 [4h] PointerToRelocations:重定位的偏移 [4h] PointerToLinenumbers:行号表的偏移 [4h] NumberOfRelocations:重定位项数目 [2h] NumberOfLinenumbers:行号表的数目 [2h]
Characteristics:区段属性 [4h] 标志
计算方式:
区段表的文件偏移地址=PE头的文件偏移地址+14h+可选PE头大小+1
首先从0X3Ch处得到PE头的文件偏移地址,然后由PE头的文件偏移地址+14h得到可选PE头大小,再将上面三个数据相加再+1就得到区段表的文件偏移地址了。
VSize的大小只是效验下是否跨越下一个节了,或者是否超出了SizeOfImage,如果出现越界问题,提示非法32位应用程序,否则的话,它的值没有意义,节的大小不是由它决定的......对非最后一个节,按节间VOffset之差,最后一节用SizeOfImage-VOffset。
二、PE文件常见区段及其代码类型
一个Windows NT的应用程序典型地拥有9个预定义段,它们是: 常用区段名 区段类型 区段说明 .text 代码区段 汇编语言 .bss 未初始化区段 附加数据(某些配置信息) .rdata 只读数据区段 输入、输出表 .data 全局变量数据区段 字符串 .rsrc 资源区段 资源信息 .edata 只读数据区段 输出表 .idata 只读数据区段 输入表 .pdata 只读数据区段
.debug 调试区段
----------------------------------------------------------------- .code
.reloc 重定位表区段 重定位表 其他加壳加密软件例子
.upx UPX加壳 .vmp VMP加密
其中资源区段.rsrc(资源工具:Resource Hacker,FreeRes和eXeScope只识别其区段名)是判断某些木马是否需要导出资源再进行免杀的关键。
今后课程安排如下:免杀之PE结构
《认识输入表并手动修改》 《认识输出表并手动修改》 《认识重定位表并手动修改》 《认识资源表并学会导入导出》
免杀之免杀方法
《免杀前的特征码归类》
《汇编下修改特征码方法(N种) 》 《字符串特征码修改方法》 《输入表特征码免杀方法》
作业:
1)假如一个PE文件的0x3C处为40 00 00 00,0x54处为E8 00 8E 81,那么其区段表起始偏移地址为多少?
2)以下区段名不符合要求的是:
1、.code 2、data_image 3、加花区段 4、.134217 5、.PE输入表 6、[][][][] 7、JKS不错 8、.data[][][][]
3)某个PE文件的区段有2个,区段名分别是.rsrc和.reloc。请问,该区段有重定位表和可导出资源吗?为什么?
参考答案请翻页
参考答案: 1) 0x13C。
2) 2、5、8
3)不确定是否有重定位表和可导出资源,因为尽管一般情况下.rsrc表示为资源区段,.reloc表示为重定位区段,但是其区段名并不能代表该区段的属性,区段的属性还是由其代码的性质决定的。
相关推荐:
loading