一次ＰＥ文件之旅-软件逆向-看雪-安全社区|安全招聘|kanxue.com

一次ＰＥ文件之旅

发表于: 2007-1-28 12:50 6684

一次ＰＥ文件之旅

小娃崽

2007-1-28 12:50

6684

　　最近老是盯着ＰＥ文件看，看它有什么秘密在里面，于是就产生了这样一个想法：构造一个ＰＥ头，构造自己的区段表,接着在.text中填一些机器码，当然还要构造自己的输入表，我想通过这种方式来实现一个程序．下面就是我的操作过程：
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
(-),首先构造一个PE头
->DOS Header
e_magic:    0x5A4D
e_cblp:    0x0000
e_cp:       0x0000
e_crlc:    0x0000
e_cparhdr: 0x0000
e_minalloc:  0x0000
e_maxalloc:  0x0000
e_ss:       0x0000
e_sp:       0x0000
e_csum:    0x0000
e_ip:       0x0000
e_cs:       0x0000
e_lfarlc: 0x0000
e_ovno:    0x0000
e_res:    0x0000000000000000
e_oemid:    0x0000
e_oeminfo: 0x0000
e_res2:    0x0000000000000000000000000000000000000000
e_lfanew: 0x00000040

->File Header
Machine:             0x014C  (I386)
NumberOfSections:    0x0001
TimeDateStamp:       0x45B9CD97  (GMT: Fri Jan 26 09:44:55 2007)
PointerToSymbolTable:  0x00000000
NumberOfSymbols:    0x00000000
SizeOfOptionalHeader:  0x00E0
Characteristics:    0x010F
                        (RELOCS_STRIPPED)
                        (EXECUTABLE_IMAGE)
                        (LINE_NUMS_STRIPPED)
                        (LOCAL_SYMS_STRIPPED)
                        (32BIT_MACHINE)

->Optional Header
Magic:                      0x010B  (HDR32_MAGIC)    ；书上说一般都是这个值
MajorLinkerVersion:          0x05
MinorLinkerVersion:          0x0C  -> 5.12             ；好多程序都是这个值
SizeOfCode:                0x00000200                ；通常情况下和.text块的大小匹配
SizeOfInitializedData:       0x00000200
SizeOfUninitializedData:    0x00000000
AddressOfEntryPoint:       0x00001000
BaseOfCode:                0x00001000
BaseOfData:                0x00002000
ImageBase:                   0x00400000
SectionAlignment:          0x00001000                ；这个值是最小的了
FileAlignment:             0x00000200                ；这个也是
MajorOperatingSystemVersion:  0x0004
MinorOperatingSystemVersion:  0x0000  -> 4.00
MajorImageVersion:          0x0000
MinorImageVersion:          0x0000  -> 0.00
MajorSubsystemVersion:       0x0004
MinorSubsystemVersion:       0x0000  -> 4.00
Win32VersionValue:          0x00000000                ；Reserved，以上都是常见的值
SizeOfImage:                0x00003000                //内存镜象大小
SizeOfHeaders:             0x00000200       ；从文件的开头到第一节的原始数据的偏移量
CheckSum:                   0x00000000
Subsystem:                   0x0002  (WINDOWS_GUI)
DllCharacteristics:          0x0000
SizeOfStackReserve:          0x00100000                ；以下的数据都是程序中常见的
SizeOfStackCommit:          0x00001000
SizeOfHeapReserve:          0x00100000
SizeOfHeapCommit:          0x00001000
LoaderFlags:                0x00000000
NumberOfRvaAndSizes:       0x0000000F

DataDirectory (F)          RVA       Size
-------------                ---------- ----------
ExportTable                0x00000000 0x00000000
ImportTable                0x00002000 0x0000003C
Resource                   0x00000000 0x00000000
Exception                   0x00000000 0x00000000
Security                   0x00000000 0x00000000
Relocation                   0x00000000 0x00000000
Debug                      0x00000000 0x00000000
Copyright                   0x00000000 0x00000000
GlobalPtr                   0x00000000 0x00000000
TLSTable                   0x00000000 0x00000000
LoadConfig                   0x00000000 0x00000000
BoundImport                0x00000000 0x00000000
IAT                         0x00000000 0x00000000
DelayImport                0x00000000 0x00000000
COM                         0x00000000 0x00000000
Reserved                   0x00000000 0x00000000
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

（二）下面到块表了(剩下那些字段全部填0了)。。
Name VSize VAddress RSize Roffset characterstics
.TEXT 526    1000       200    200    60000020
.RDATA 592    2000       200    400       E0000040

接着就是我自己的代码了，当然是最简单的！
我把数据也放到.RDATA区段。
这些代码很多我是借住ＯＤ查看得来的(先写代码，在ＯＤ打开)
'pediy'    5B0------004021B0
'abaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6t1%4i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`.    5C1------004021C1

PUSH 0                                        6A00
push  'c2dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6t1%4i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`.                      68 C1214000 //指向e41K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2k6r3W2&6i4K6u0W2j5$3!0E0
PUSH  'pediy'                                  68 B0214000
push  0    6A00
call  MessageBoxA                               E8 07000000  //也就是向前跳7个字节吧
push  0                                        6A00
call  ExitProcess                               E8 06000000
jmp MessageBoxA                               FF25 B0204000  //跳到IMAGE_THUNK_DATA
jmp ExitProcess                               FF25 B8204000

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

（三）程序中引入了两个函数，这就得为它构造两个IID。。。。

MessageBoxA 44c--->204c----0040204c
ExitProcess 466--->2066--->00402066

User32.dll    45A--->205A--->0040205A
Kelnel32.dll 474--->2074--->00402074

IMAGE_THUNK_DATA (把它放在了地址4B0，4B8处)
B0200000 00000000 以0结束
B8200000 00000000

IMAGE_IMPORT_DIRECTORY
OrignFirstThunk    TimeDateStamp ForWarderChain    Name1       FirstThunk
00000000 00000000 00000000    5a200000 B0200000
00000000 00000000 00000000    74200000 B8200000

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
（四）将这些数据保存为pediy.exe
，结果见附件，都是我自己构造的数据，你可以用二进制编辑工具打开
再次感谢dummy

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

pediy.rar （0.35kb，75次下载）

收藏・0

免费・7

支持

最新回复 (6)
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 7 关注私信	dummy 23 2 楼 SizeOfImage --> 3000 这样就可以加载了对了，你的程序使用 thunk 有问题，对照改一下就行 2007-1-28 13:58 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 3 楼楼上的厉害，一眼就看出来了．．．程序运行出错！用ＯＤ载入成这样了： 00401000 > $ 6A 00 push 0 00401002 . 68 B0214000 push 004021B0 ; ASCII "38dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2k6r3W2&6i4K6u0W2j5$3!0E0" 00401007 . 68 C1214000 push 004021C1 ; ASCII "pediy" 0040100C . 6A 00 push 0 0040100E . E8 07000000 call 0040101A 00401013 . 6A 00 push 0 00401015 . E8 06000000 call 00401020 0040101A $- FF25 4C204000 jmp dword ptr [40204C]　　　　／／这里出错 00401020 $- FF25 66204000 jmp dword ptr [402066] ／／这里出错！＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝应该是这里错！ jmp MessageBoxA FF25 4C204000 //跳到IMAGE_THUNK_DATA jmp ExitProcess FF25 66204000 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝原来是ＴＨＵＮＫ的ＲＶＡ搞错了，改成 jmp MessageBoxA FF25 Ｂ０204000 jmp ExitProcess FF25 Ｂ８204000 ，程序终于可以正常运行了！感谢dummy！！，还有 PUSH 'pediy' 68 B0214000 push '775K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6t1%4i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`. 68 C1214000 //指向892K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2k6r3W2&6i4K6u0W2j5$3!0E0 push反了，和我的本意相反，改过来就行了，呵呵！ 2007-1-28 14:05 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 4 楼程序只有１.５Ｋ，运行如下图比同样的汇编编译的还小了１Ｋ，高兴上传的附件： pediy.gif （3.08kb，169次下载） 2007-1-28 15:06 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 5 楼晕，今天下了看雪精华８，发现我原来不是第一个这样玩的人 http://bbs.pediy.com/showthread.php?threadid=34739 2007-2-1 10:34 0
yusjoel 雪币： 215 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	yusjoel 2 6 楼抱歉拉~~~ 2007-2-1 10:45 0
Ptero 雪币： 452 活跃值： (72) 能力值： ( LV9，RANK：330 ) 在线值：发帖 18 回帖 163 粉丝 0 关注私信	Ptero 8 7 楼手工构造PE文件的话，还能再减少一些字节因为DOS_STUB根本不需要，所以IMAGE_DOS_HEADER.e_lfanew可以设成非常小的值，你看看用LordPE优化过的文件就知道了，具体值我记不清了，反正比一般的PE文件要小很多。还有，只要一个.text节就够了，输入表什么的可以放到第一个节前面的空余部分，这样又可以省很多空间了这样的话可以减到1KB以下 2007-2-1 17:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小娃崽

发帖

283

回帖

530

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 7 关注私信	dummy 23 2 楼 SizeOfImage --> 3000 这样就可以加载了对了，你的程序使用 thunk 有问题，对照改一下就行 2007-1-28 13:58 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 3 楼楼上的厉害，一眼就看出来了．．．程序运行出错！用ＯＤ载入成这样了： 00401000 > $ 6A 00 push 0 00401002 . 68 B0214000 push 004021B0 ; ASCII "38dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2k6r3W2&6i4K6u0W2j5$3!0E0" 00401007 . 68 C1214000 push 004021C1 ; ASCII "pediy" 0040100C . 6A 00 push 0 0040100E . E8 07000000 call 0040101A 00401013 . 6A 00 push 0 00401015 . E8 06000000 call 00401020 0040101A $- FF25 4C204000 jmp dword ptr [40204C]　　　　／／这里出错 00401020 $- FF25 66204000 jmp dword ptr [402066] ／／这里出错！＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝应该是这里错！ jmp MessageBoxA FF25 4C204000 //跳到IMAGE_THUNK_DATA jmp ExitProcess FF25 66204000 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝原来是ＴＨＵＮＫ的ＲＶＡ搞错了，改成 jmp MessageBoxA FF25 Ｂ０204000 jmp ExitProcess FF25 Ｂ８204000 ，程序终于可以正常运行了！感谢dummy！！，还有 PUSH 'pediy' 68 B0214000 push '775K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6t1%4i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`. 68 C1214000 //指向892K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2k6r3W2&6i4K6u0W2j5$3!0E0 push反了，和我的本意相反，改过来就行了，呵呵！ 2007-1-28 14:05 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 4 楼程序只有１.５Ｋ，运行如下图比同样的汇编编译的还小了１Ｋ，高兴上传的附件： pediy.gif （3.08kb，169次下载） 2007-1-28 15:06 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 5 楼晕，今天下了看雪精华８，发现我原来不是第一个这样玩的人 http://bbs.pediy.com/showthread.php?threadid=34739 2007-2-1 10:34 0
yusjoel 雪币： 215 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	yusjoel 2 6 楼抱歉拉~~~ 2007-2-1 10:45 0
Ptero 雪币： 452 活跃值： (72) 能力值： ( LV9，RANK：330 ) 在线值：发帖 18 回帖 163 粉丝 0 关注私信	Ptero 8 7 楼手工构造PE文件的话，还能再减少一些字节因为DOS_STUB根本不需要，所以IMAGE_DOS_HEADER.e_lfanew可以设成非常小的值，你看看用LordPE优化过的文件就知道了，具体值我记不清了，反正比一般的PE文件要小很多。还有，只要一个.text节就够了，输入表什么的可以放到第一个节前面的空余部分，这样又可以省很多空间了这样的话可以减到1KB以下 2007-2-1 17:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复