好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 ddsoft 于 2011-5-21 13:32 编辑
今天分析了一下PEID0.94的输入表,做个视频,同大家一起学习,
如果有错误,或者术语不对,欢迎给我留言。我也是初学者。
视频下载地址: http://www.33vc.com/disk/GetFile.asp?Id=101021122927v0qdu(进去后直接点下载文件)。
PEID 输入表:RVA 0008B000 Size: 00000FF4
RVA指向的是IID结构数组。
IID结构 ,20字节。最后以20个0结束。
peid 输入了7个dll.
IID 最重要的是第1,4,5个字段。
1.5分别 是 …
4是dll的名字。
第一个dll,name 0008B0A0 advapi32.dll
第二个dll,name 0008B178 comctl32.dll
……….
只分析advapi32.dll
第5个字段 FirstThunk是00001000。指向的是INT,
INT是IMAGE_THUNKDATA(4个字节)的数组。
发现有11个 IMAGE_THUNKDATA。所以应该是输入了11个函数。
第1个函数 0008B0AE ->根据名字来输入。它的hint 1f,
name AllocatAndInitiaziSid,
第2个函数 0008B0CA 它的hint 011B,
name GetTokenInformation
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2010-10-21 12:53
发表于 2010-10-21 22:14
|
发表于 2010-10-22 12:12
