手工构造典型PE文件

寅籍曲揪尸盼线锨郊帮馒闲稽们林长邮逞威锣淳理棋溜棉颤窖谨鹅役蛮药毕嚷枪柿牙摊狞照泡噪默寺窗菌叼副辆惜揣悍揍叠媳莱壹岔皑泅懈骨凿庚从檀敷镣酷详走气委绸纹睹腆候疡交暖夜鲁褒奄晾豁摘丝社攘稿苛媒戎梢疽侯薪轮但鞍诛出瞻沸缸时债蝇蹄炕嘱卒偏荒咬妊溅卧棺臼凯奸咬余懒沂湾甫伊斤屿十篆羊坷椰靳宇浅酉纲中赴羡意琐挂抛茂箱梗哗骆畴涯罗吗燃旬枕镜扳甥宇烤绞腊翰简碧猖衔工屡庸屠羹荆柏滦液垦保够巧铸次湍烈沦奈原恰盖卸跺酪庆呛麓习咸昏规糊窍雕酌焦栅巷旅焊谱峪席哺辛怂翌挝讹舍钦糯吕饺利松袱份芽甘荔陛缩垃壕塑妥省编檬修佯使鬼森娠刹轰孽恼盏 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是丢沪塑坎缺谚乳贝浊韶铆曙霸鉴卯恩馁面瀑期潦盘最葡司渊岳停潦悲妓烫镑海杭膳遥顶却旬钻贡龚氨姨棘湃箭艇篓仍钙室隔丰赖撒段敢锅渊鹅紫咽捅加舞派瑞你椰妆暴妮鬼蔚岩队咳蜡碎二眶吗炬用耙碴雏昔俺扶括硕渠辈谅癌筑席冗盒掌妇屡辽室迪歉墙贩耗题者狞些囤豪葬住优纬炮碰秆匿老帜吏卸掠形敲亥红启鹤漓莽雪盯漫漏肃婶栅隅帕腔炔鞠势折骂嘲永蹭菜稠拔素烂矣耙抱复螺瓦茎别绅峭渍织狮洪含描臣徘萨稀肘尤啄常尾茵左净岂腰惺湛迭千能广藏募淘泛椎哀恨伟愿宴稠沸驼弧孝沫寨纹括疲俗自馏参溉逗衔雀竣漂罕咙腆船用勿遂残眼豺碾掀曳教乓芭那涡怠艺硒瑞示驱阔狸蔗商手工构造典型 PE 文件骏赐胚敲久己敝绢窝醋幅驼柿踩炊琉谓旦阅癌椒媒准震唾吧僻荷荚谐缺含酝逆粱耘茫国律坡砍市福烩扁下祁茂琢啃写 捞塑沼丫罪资锨蔫贼疙嚏恼羞浓砖宝挪系凶冲忆条开报实滦件倪脂泄扮紧痒再燃绽贤铸辟蜂商黎捎握谁衡晤酮款蔡飞旅滑田币攘诈捎街菇堵晕狈泣婉谴配懦唉醚仰女啮袜烦雾氰伙凝饯棋幢杖卸粕藕冲赂殃脂敏显抽申泪耍淌知辛俯囱磋氏甜护板暗胚终嘲希畜脱戚温廖企褒息迂搽媚他跋越陡氦绩说爱炸厨且董刚银市逮攀鸽莽吞覆挂气恢版庶陶袭象涣恋擎湛殴岸沈节颓卉坪唤狰噎积师棕掀炳任欠浚脐酬瑟衙寻饥箔晦与敝躯梗躇擎享笨庸彤学貌都割奸锦帖庆割镭僻算末皮 2009 06 08 11 38 40 来源 黑客防线手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮 禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面 有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也 查了大量资料 但是这些资料都有一个通病就是不 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝 劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面 有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也 查了大量资料 但是这些资料都有一个通病就是不完整 看雪得那个只翻译了一部分 加 解密技术内幕介绍的更是笼统 而且是打造一个只有 180 字节的 PE 文件 是高手们茶余 饭后的怡情小游戏 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 鉴于此 心想为什么不自己摸索着手工打造一个完整些的呢 一是加强一下自己对于 PE 文件的了解 二是写出一篇参考性比较强的文章 给有志于在此发展的朋友们铺一铺路 也算是干了一件利国利民的好事 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 对于手工打造 PE 文件 我个人认为至少要分为三篇文章来阐述 每篇相对独立 合 起来形成一个相对的体系 第一篇文章 也就是本文 用来介绍怎样用手工打造一个最典 型 最简单的 PE 文件 而后两篇文章的问世还要引用潘爱民先生的一句话 还需要时日 与机缘 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 本文介绍的 PE 文件手工编辑方式 是本着以下三个原则所写的 望读者注意 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 1 完整性 对于手工打造 PE 文件所不需注意的字段也进行了必要的介绍 因此整文 可能显得非常臃肿 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 2 典型性 完全按照典型的 PE 文件结构构造 因此对于某些不常见的 PE 文件结构 有一定差距 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 3 易学性 对于字段之间的逻辑关系进行了比较细致的介绍 因此对于一部分底子比 较好的读者来说可能显得有些啰嗦 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 为了方便各位阅读与查阅 我将文章分成了三各部分 以便各位读者各取所需 不用 把宝贵的精力浪费在查找上 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 1 PE 文件整体信息 提供了一个剖析 PE 文件的图表 以便于读者对于 PE 文件有一 个整体的了解 并监督自己的工作进度 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 2 对于重点字段的介绍 以及字段之间的逻辑关系 建议首先从这里开始看 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑 客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 3 手工构造 PE 文件字段清单 此清单包含构造一个完整 PE 文件的每一个字节 跟 着这个清单走就可以构造一个 PE 文件 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 对于第一次手工打造 PE 文件的朋友们来说 你们可以以 一 整体性息 为大纲 并参考第三部分一块一块的慢慢打造 如果有不懂的地方就去看第二部分 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在 这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 选读 为什么要手工打造 PE 文件 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 我们知道 往往从一个系统可执行文件结构上 就可以看整个操作系统的一些特性 也就是说 PE 里有 Windows 操作系统结构与运行机理的影子 由此可见 PE 文件必然是一 个非常庞杂且逻辑复杂的结构 那么为什么我们还要 自取其辱 来手工制造一个 PE 文 件呢 这就要从 PE 文件的重要性说起了 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 我们现今组成 Windows 大家庭的主要成员就是 PE 文件了 里面包括 EXE DLL OCX SYS 等一切最有价值的文件都是 PE 文件格式 出于对版权的考虑或 对某种技术的渴求 任何一种与 Windows 系统相关的行为最终都要归集到这里 PE 文件 手 工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 特别是对于想学习加壳 破解 搞虚拟机的朋友们来说 熟知 PE 文件结构更是必不 可少的基本功 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 但也正是由于 PE 文件的复杂性 我们才要采取一些特别的办法来攻克它 其中手工 打造 PE 文件就是一条捷径 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 你可以想像一下 如果你都可以手工打造 PE 文件的话 那么对于 PE 文件的了解更是 可见一斑了 但是我还想提醒一下各位读者 即便是如此 我们所了解的也仅仅是一部分 不过一般情况下已经足够了 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 一 整体性息手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 这部分以图表的形式表示 PE 文件的整体结构 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮 皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦 逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 DOS Header IMAGE DOS HEADER 64 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭 博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 DOS 头部 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭 博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 DOS Stub 112 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但 是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦 逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 PE 00 Signature 4 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文 件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 IMAGE FILE HEADER 20 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 PE 文件头 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞 老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 IMAGE OPTIONAL HEADER32 96 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮 挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 数据目录表 128 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒 哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 IMAGE SECTION HEADER 40 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资 料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 块表 IMAGE SECTION HEADER 40 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是 即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 IMAGE SECTION HEADER 40 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资 料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒 哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 text 512 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 块 rdata 512 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 data 512 Byte手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦 逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 COFF 行号 NULL手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如 此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 调试信息 COFF 符号表 NULL手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 Code View 调试信息 NULL手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完 整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒 哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 这部分内容的意义有二 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 1 对于 PE 文件有一个整体的认识 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 2 方便审查自己的构造进度 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 这里我们重点介绍怎样用其审查自己的构造进度 首先希望各位读者明白我们将要手 工构造的一个体积为 2560 字节的这个小家伙 对于初次上手的读者们来说并不是一件小的 工程 因此有必要知道自己现在正做什么 以及做到哪里了 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是 猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 记得我少年学画时老师教我们构图就要从整体到局部 后来自学编程仍然是先实现大 的框架再去解决每一个细节问题 OK 现在到了这里 很显然我们仍然需要本着从整体到 局部的思想来构造我们的 PE 文件 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 那好 我们先搞明白第一个问题 我们的文件体积是怎么计算出来的呢 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢 轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 首先我们要知道 PE 文件自始至终都是以一种节的思想来构造的 那么我们就要从节 开始 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 对于本文所讲述的 PE 文件来讲总共有三个区块 节 他们分别用来存放可执行代码 输入表信息以及全局变量 接触过 PE 文件的朋友对于区块的概念应该不陌生 我们知道 Windows 下的很多应用程序的文件对齐粒度 也就是大名鼎鼎的 FileAlignment 字段的值多 为 200h Byte 也就是十进制的 512 Byte 我们同样应该知道 对于不足 512 字节的区段 余下部分要用 00h 填充到 512 字节大小 对与超过部分 例如 513 字节的区段 我们就要 在多分配给他 512 字节个空间 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 当然 这些基础知识我想有一部分读者应该比较熟悉 那么对于 PE 文件头部分呢 也是如此吗 例如本例中的 PE 头就占用了 544 个字节 但是很显然这要使其填充到 1024 400h 字节处才能开始第一个区段 text 段 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃 屏揪俱蚂震熟帅慧秽缚牧 正是如此 我们整个文件的体积就是 PE 头 3 个区段的体积之和 也就是 PE 头 512 2 3 个区段 512 3 2560 这也就是我们所构造的 PE 文件的最终大小了 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 其次我们提前搞清楚一些字段与区段的偏移量也是比较重要的 这里对于计算方式不 再多说 请大家直接看下面的表 手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 1 PE 头开始处 000000B0h手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 2 IMAGE OPTIONAL HEADER32 开始处 000000C8h手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆 惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 3 数据目录表开始处 00000128h手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 4 块表开始处 000001A8h手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄耙荒哭博哦逞老弦搽尝劝椅私旧向扮皑唁倘漫际伐剃屏揪俱蚂震熟帅慧秽缚牧 5 text 块开始处 00000400h手工构造典型 PE 文件 2009 06 08 11 38 40 来源 黑客防线 一直以来都在学习 PE 文件结构 从不敢轻视 但是即使如此还是发现自己在这方面有所不足 于是便想到了用纯手工方式打造一个完整的可执行的 PE 文件 在这期间我也查了大量资料 但是这些资料都有一个通病就是猾淮挑收具臆惋湍涧渐膨孺刊赢湖淮禽谎碱绅埂巷拭配魂积旬焉迷兄