实验2 PE文件格式分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用UltraEdit观察PE文件例子程序hello-2.5.exe 的16进制数据,在打印稿中画出该PE文件基本 结构
MZ头部+DOS stub+PE文件头+可选文件头+节表+节
使用Ollydbg对该程序进行初步调试,了解该程 序功能结构,在内存中观察该程序的完整结构。 使用UltraEdit修改该程序,使得该程序仅弹出 第二个对话框
第三阶段实验内容
手工修改hello-2.5.exe程序,使得其可以 弹出第三个对话框(提示框标题为“武 汉大学信安病毒实验”,内容为:你的 姓名+学号)
武汉大学信息安全专业计算机病毒实验
第三阶段实验内容(续1)
找到系统System32目录下的user32.dll文 件,用UltraEdit打开并分析该文件引出表, 找出函数MessageBoxA的地址,并验证 该地址是否正确。
武汉大学信息安全专业计算机病毒实验
第五阶段实验内容
打造最小的PE文件
修改WHU_PE-2.5.exe文件,保持该文件
的功能不变,使得该文件大小尽可能 小。
武汉大学信息安全专业计算机病毒实验
武汉大学信息安全专业计算机病毒实验
第四阶段实验内容
熟悉资源表
利用PEview.exe熟悉资源表的结构
利用PEview.exe分析PEview.exe程序
用UltraEdit修改PEview.exe,使得该文件的 图标变成PEview.ico。 熟悉eXeScope工具的实用,并利用该工具汉 化PEview.exe程序。
武汉大学信息安全专业计算机病毒实验
第三阶段实验内容(续2)
用UltraEdit修改hello-2.5.exe程序的引入 表,使该程序仅可以从kernel32.dll中引入 LoadLibrary和GetProcAddress函数,而不 从user32.dll导入任何函数。 在代码节中写入部分代码利用这两个函 数获取MessageBoxA的函数地址,使 hello-2.5.exe程序原有功能正常。
武汉大学信息安全专业计算机病毒实验
第二阶段实验内容
熟悉各类PE文件格式查看和编辑工具 (PEView、Stud_PE、PEditor等)
结合hello-2.5.exe熟悉PE文件头部、引入表、 引出表的结构
进一步画出打印稿中的各个关键结构和字段
熟悉函数导入、导出的基本原理
武汉大学信息安全专业计算机病毒实验
实验2 PE文件格式分析
彭国军 guojpeng@whu.edu.cn
武汉大学信息安全专业计算机病毒实验
实验目的
熟悉各种PE编辑查看工具,详细了解 PE文件格式 2. 重点分析PE文件文件头、引入表、引出 表,以及资源表 3. 了解PE文件格式与PE病毒之间的关系 4. 自己打造一个尽可能小的PE文件
1.
武汉大学信息安全专业计算机病毒实验
实验准备
下载相关工具和软件包。 下载百度文库址:ftp://10.10.1.239
武汉大学信息安全专业计算机病毒实验
技术资料
《计算机病毒分析与对抗》第二章 http://www.baidu.com,关键字:PE文件 格式
武汉大学信息安全专业计算机病毒实验
第一阶段实验内容
MZ头部+DOS stub+PE文件头+可选文件头+节表+节
使用Ollydbg对该程序进行初步调试,了解该程 序功能结构,在内存中观察该程序的完整结构。 使用UltraEdit修改该程序,使得该程序仅弹出 第二个对话框
第三阶段实验内容
手工修改hello-2.5.exe程序,使得其可以 弹出第三个对话框(提示框标题为“武 汉大学信安病毒实验”,内容为:你的 姓名+学号)
武汉大学信息安全专业计算机病毒实验
第三阶段实验内容(续1)
找到系统System32目录下的user32.dll文 件,用UltraEdit打开并分析该文件引出表, 找出函数MessageBoxA的地址,并验证 该地址是否正确。
武汉大学信息安全专业计算机病毒实验
第五阶段实验内容
打造最小的PE文件
修改WHU_PE-2.5.exe文件,保持该文件
的功能不变,使得该文件大小尽可能 小。
武汉大学信息安全专业计算机病毒实验
武汉大学信息安全专业计算机病毒实验
第四阶段实验内容
熟悉资源表
利用PEview.exe熟悉资源表的结构
利用PEview.exe分析PEview.exe程序
用UltraEdit修改PEview.exe,使得该文件的 图标变成PEview.ico。 熟悉eXeScope工具的实用,并利用该工具汉 化PEview.exe程序。
武汉大学信息安全专业计算机病毒实验
第三阶段实验内容(续2)
用UltraEdit修改hello-2.5.exe程序的引入 表,使该程序仅可以从kernel32.dll中引入 LoadLibrary和GetProcAddress函数,而不 从user32.dll导入任何函数。 在代码节中写入部分代码利用这两个函 数获取MessageBoxA的函数地址,使 hello-2.5.exe程序原有功能正常。
武汉大学信息安全专业计算机病毒实验
第二阶段实验内容
熟悉各类PE文件格式查看和编辑工具 (PEView、Stud_PE、PEditor等)
结合hello-2.5.exe熟悉PE文件头部、引入表、 引出表的结构
进一步画出打印稿中的各个关键结构和字段
熟悉函数导入、导出的基本原理
武汉大学信息安全专业计算机病毒实验
实验2 PE文件格式分析
彭国军 guojpeng@whu.edu.cn
武汉大学信息安全专业计算机病毒实验
实验目的
熟悉各种PE编辑查看工具,详细了解 PE文件格式 2. 重点分析PE文件文件头、引入表、引出 表,以及资源表 3. 了解PE文件格式与PE病毒之间的关系 4. 自己打造一个尽可能小的PE文件
1.
武汉大学信息安全专业计算机病毒实验
实验准备
下载相关工具和软件包。 下载百度文库址:ftp://10.10.1.239
武汉大学信息安全专业计算机病毒实验
技术资料
《计算机病毒分析与对抗》第二章 http://www.baidu.com,关键字:PE文件 格式
武汉大学信息安全专业计算机病毒实验
第一阶段实验内容