-
-
原创视频教程:揭秘PE格式之输入表
-
发表于: 2010-10-21 12:34
-
今天分析了一下PEID0.94的输入表,做个视频,同大家一起学习,
如果有错误,或者术语不对,欢迎给我留言。我也是初学者。
视频下载地址: 50dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0x3K6N6X3y4Q4x3X3g2U0L8$3#2Q4x3V1k6V1K9i4y4C8i4K6u0r3c8$3g2@1c8X3W2D9k6g2)9J5k6h3q4K6M7q4)9K6c8V1W2V1i4K6y4p5x3e0l9I4x3o6t1I4x3e0t1J5z5e0t1%4N6U0m8I4k6s2f1`. (进去后直接点下载文件)。
PEID 输入表:RVA 0008B000 Size: 00000FF4
RVA指向的是IID结构数组。
IID结构 ,20字节。最后以20个0结束。
peid 输入了7个dll.
IID 最重要的是第1,4,5个字段。
1.5分别 是 …
4是dll的名字。
第一个dll,name 0008B0A0 advapi32.dll
第二个dll,name 0008B178 comctl32.dll
……….
只分析advapi32.dll
第5个字段 FirstThunk是00001000。指向的是IAT, (第1个字段OrignalFirstThunk指向的才是INT)
IAT是IMAGE_THUNKDATA(4个字节)的数组。
发现有11个 IMAGE_THUNKDATA。所以应该是输入了11个函数。
第1个函数 0008B0AE ->根据名字来输入。它的hint 1f,
name AllocatAndInitiaziSid,
第2个函数 0008B0CA 它的hint 011B,
name GetTokenInformation
如果有错误,或者术语不对,欢迎给我留言。我也是初学者。
视频下载地址: 50dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0x3K6N6X3y4Q4x3X3g2U0L8$3#2Q4x3V1k6V1K9i4y4C8i4K6u0r3c8$3g2@1c8X3W2D9k6g2)9J5k6h3q4K6M7q4)9K6c8V1W2V1i4K6y4p5x3e0l9I4x3o6t1I4x3e0t1J5z5e0t1%4N6U0m8I4k6s2f1`. (进去后直接点下载文件)。
PEID 输入表:RVA 0008B000 Size: 00000FF4
RVA指向的是IID结构数组。
IID结构 ,20字节。最后以20个0结束。
peid 输入了7个dll.
IID 最重要的是第1,4,5个字段。
1.5分别 是 …
4是dll的名字。
第一个dll,name 0008B0A0 advapi32.dll
第二个dll,name 0008B178 comctl32.dll
……….
只分析advapi32.dll
第5个字段 FirstThunk是00001000。指向的是IAT, (第1个字段OrignalFirstThunk指向的才是INT)
IAT是IMAGE_THUNKDATA(4个字节)的数组。
发现有11个 IMAGE_THUNKDATA。所以应该是输入了11个函数。
第1个函数 0008B0AE ->根据名字来输入。它的hint 1f,
name AllocatAndInitiaziSid,
第2个函数 0008B0CA 它的hint 011B,
name GetTokenInformation
|
|
|---|---|
|
|
|
|
|
感谢Ls的支持。居然是07年注册以来的第一帖。真荣幸。呵呵
|
|
|
楼主你好,52上 见过你
|
|
|
|
|
|
52很少上,发现人气也不好。
还准备再弄个EAT的分析和基址重定位的视频呢。。汗。。。 如果有时间就做,发到看雪吧。。。 
|
|
|
|
|
|
|
