压缩手工打造的PE文件

Gryffinbit
实验逆向

发布于:2021年6月4日
次浏览

压缩手工打造的PE文件-压缩节区

参考教材

https://gryffinbit.lanzoui.com/iBgUCprnmpc

实验目的

通过利用C32asm,对实验六手工编写的一个Win32平台下的PE文件进行节区压缩,进一步熟练掌握PE文件的结构。

实验内容

压缩手工打造产生的PE文件

手工产生PE

使之压缩后仍可执行并输出如下内容:

实验过程

修改压缩节区

在内存中节区对齐的大小最小就是 0x00001000,而在磁盘上节区对齐的大小最小可以是0x00000200􏰺。考虑改变磁盘上节区对齐的大小。

  1. 修改磁盘对齐大小的值,即 IMAGE_OPTIONAL_HEADER 中 FileAlignment 字段的值

  2. 修改节表中关于磁盘的字段,即 IMAGE_SECTION_HEADER 中的 SizeOfRawData 和 PointerToRawData

  3. 缩减每个节在磁盘中对应的多余的0字节

    PE-3

    相比以前的16k缩小了很多

博客内容遵循 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 协议

本文永久链接是:https://gryffinbit.top/20210604/%E5%8E%8B%E7%BC%A9%E6%89%8B%E5%B7%A5%E6%89%93%E9%80%A0%E7%9A%84PE%E6%96%87%E4%BB%B6/

更新于:2023年1月17日

PE

评论