原创视频教程:揭秘PE格式之输入表
本帖最后由 ddsoft 于 2011-5-21 13:32 编辑今天分析了一下PEID0.94的输入表,做个视频,同大家一起学习,
如果有错误,或者术语不对,欢迎给我留言。我也是初学者。
视频下载地址: http://www.33vc.com/disk/GetFile.asp?Id=101021122927v0qdu(进去后直接点下载文件)。
PEID 输入表:RVA 0008B000 Size: 00000FF4
RVA指向的是IID结构数组。
IID结构 ,20字节。最后以20个0结束。
peid 输入了7个dll.
IID 最重要的是第1,4,5个字段。
1.5分别 是 …
4是dll的名字。
第一个dll,name 0008B0A0 advapi32.dll
第二个dll,name 0008B178 comctl32.dll
……….
只分析advapi32.dll
第5个字段 FirstThunk是00001000。指向的是INT,
INT是IMAGE_THUNKDATA(4个字节)的数组。
发现有11个 IMAGE_THUNKDATA。所以应该是输入了11个函数。
第1个函数 0008B0AE ->根据名字来输入。它的hint 1f,
name AllocatAndInitiaziSid,
第2个函数 0008B0CA 它的hint 011B,
name GetTokenInformation
http://www.33vc.com/wp-content/uploads/2010/10/1.jpg
謝謝分享 继续加油,期待你接下来的几课~ 回复 3# tysan
感谢 版主,已出第2课。。。:)eee 支持,谢谢分享,支持你。下载了。 先顶后看,谢谢楼主分享 感谢楼主的分享 非常好的教程 我就喜欢看PE结构 PE结构
好复杂的说 呵呵,我来顶起的