OllyDbg笔记-初识PE文件(nag窗口破解)
目錄
?
基本概念
代碼與實(shí)例
?
基本概念
這里主要是記錄下PE文件結(jié)構(gòu):
PE文件結(jié)構(gòu),它在硬盤上的存儲(chǔ)結(jié)構(gòu)跟載入內(nèi)存時(shí)候的存儲(chǔ)結(jié)構(gòu)是一樣的。?
在PE文件結(jié)構(gòu)里邊找出想要的東西,當(dāng)這個(gè)文件映射到內(nèi)存后,也可以很容易的找到它(因?yàn)镺D是動(dòng)態(tài)調(diào)試,程序需要先載入內(nèi)存)。?
內(nèi)存中的一個(gè)模塊代表一個(gè)可執(zhí)行文件進(jìn)程所需要的所有代碼、數(shù)據(jù)、資源的集合。
PE文件結(jié)構(gòu):
DOS header
DOS stub
PE File Header
Image Optional Header
Section Table
Data Directories
Sections
?
PE結(jié)構(gòu)如下:
所有的數(shù)據(jù)都在.data里面:
?
?
代碼與實(shí)例
程序如下:
這里來看下第一個(gè)nag窗口。
這里可以看到在00401024上都是第一個(gè)Messagebox的東西,現(xiàn)在修改PE文件結(jié)構(gòu),只要把exe中pe文件AddressOfEntryPoint
修改即可
點(diǎn)擊
這里有很多PE結(jié)構(gòu)的文件:
此時(shí)要找<00401024地址的文件!
雙擊后:
找到AddressOfEntryPoint:
這里可以知道從PE頭00400000增加1000的偏移即為:
從地址中可以看到004000E8中,記錄的是1000這個(gè)值,目前只要把這個(gè)值改為1024(第一個(gè)Messagebox結(jié)束)即可:
這是一個(gè)小端系統(tǒng),所以要修改成這樣:
此時(shí)保存后,就不會(huì)彈出第一個(gè)Messagebox了!
總結(jié)
以上是生活随笔為你收集整理的OllyDbg笔记-初识PE文件(nag窗口破解)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 系统架构师学习笔记-系统开发基础知识(二
- 下一篇: Leaflef笔记-使用leaflet-