PE文件格式分析.docVIP

实验2 PE文件格式分析 1 2.1实验名称 1 2.2实验目的 1 2.3实验步骤及内容 1 2.4实验关键过程、数据及其分析 2 实验2 PE文件格式分析 2.1实验名称 PE文件格式分析。 2.2实验目的 1. 熟悉各种PE编辑查看工具，详细了解PE文件格式 2. 重点分析PE文件文件头、引入表、引出表，以及资源表 3. 自己打造一个尽可能小的PE文件 2.3实验步骤及内容 第一阶段： 使用UltraEdit观察PE文件例子程序hello-2.5.exe的16进制数据，在打印稿中画出该PE文件基本结构。 使用Ollydbg对该程序进行初步调试，了解该程序功能结构，在内存中观察该程序的完整结构。 熟悉各类PE文件格式查看和编辑工具（PEView、Stud_PE等）。 使用UltraEdit修改该程序，使得该程序仅弹出第二个对话框。 第二阶段： 找到系统System32目录下的user32.dll文件，用UltraEdit打开并分析该文件引出表，找出函数MessageBoxA的地址，并验证该地址是否正确。 第三阶段： 手工修改hello-2.5.exe程序，使得其可以弹出第三个对话框（提示框标题为“武汉大学信安病毒实验”，内容为：你的姓名+学号）。 用UltraEdit修改hello-2.5.exe程序的引入表，使该程序仅可以从kernel32.dll中引入LoadLibrary和GetProcAddress函数，而不从user32.dll导入任何函数。然后，在代码节中写入部分代码利用这两个函数获取MessageBoxA的函数地址，使hello-2.5.exe程序原有功能正常。 第四阶段： 利用PEview.exe熟悉PEview.exe程序的资源表的结构。 用UltraEdit修改PEview.exe，使得该文件的图标变成csWhu.ico。 熟悉eXeScope工具的使用，并利用该工具汉化PEview.exe程序。课后习题思考 如何打造最小的PE文件：修改WHU_PE-2.5.exe文件，保持该文件的功能不变，使得该文件大小尽可能小。 替换程序的图标时，如果新图标比原有图标大，应该如何解决？ 如何给一个没有图标的程序，添加一个图标？ 使用UltraEdit修改该程序，使得该程序仅弹出第二个对话框。找到程序文件中，实现第二个弹框的位置：0040 1016（VA）-- 1016（RVA） 修改PE文件中的入口点的RVA。首先在Peview中找到入口的的地址，即0D8。 在UltraEdit32中，修改0D8位置处的值为1016。此时只有第二个弹框。 二、第二阶段 找到系统System32目录下的user32.dll文件，用UltraEdit打开并分析该文件引出表，找出函数MessageBoxA的地址，并验证该地址是否正确。首先有哪些信誉好的足球投注网站NameTable，x=01DD 然后从AddressofNameOrinals指向的数组中，指向的第X项成员，获得y=01DC. 从AddressTable获取MessageBoxA的函数地址407EA. VA=77D507EA. 验证： 三、第三阶段 1、手工修改hello-2.5.exe程序，使得其可以弹出第三个对话框（提示框标题为“武汉大学信安病毒实验”，内容为：你的姓名+学号）。修改.text段：添加MessageBoxA的函数调用 Title的RVA是0040 3059h，Text的RVA是0040 306eh。 修改.data段：添加MessageBoxA的参数信息 2. 用UltraEdit修改hello-2.5.exe程序的引入表，使该程序仅可以从kernel32.dll中引入LoadLibrary和GetProcAddress函数，而不从user32.dll导入任何函数。然后，在代码节中写入部分代码利用这两个函数获取MessageBoxA的函数地址，使hello-2.5.exe程序原有功能正常。 即删除了原来user32.dll的部分，在kernel32.dll里加入LoadLibrary和GetProcAddress函数 修改IMPORT Name Table（INT表） 修改后： 其中2072为LoadLibrary的RVA,2081为GetProcAddress的RVA. 修改IMPORT Address Table（IAT表），修改后的内容同INT表一样。此处，IAT与INT完全重叠，故第步其实可以省略。 修改IMPORT Directory Table（IDT表） 其中2092表示kernel32.dll函数名的RVA。 修改PE头部和节表中的相关结构 修改IMAGE_OPTI