0x0 两个文件对比
正常的notepad.exe
使用Upack压缩后的notepad.exe,可以看到无法正常读取PE文件头。
0x1 重叠文件头
IMAGE_NT_HEADER的起始位置是可变的
0x2 修改SizeOfOptionalHeader的值
SizeOfOptionalHeader的值被修改成了0x0148(原来定义的是32位是E0,64位是F0)。
IMAGE_OPTION_HEADER的起始偏移是0x28,加上0x148,得到IMAGE_SECTION_HEADER的起始偏移0x170。所以说SizeOfOptionalHeader的另一层含义是确定IMAGE_SECTION_HEADER的起始偏移。
红框中的是Option_header,后面的是Data_Directories,以NULL结尾,从0xD7开始到0x170,是额外的空间,被填充了Upack的解码代码。
0x3 IMAGE_OPTIONAL_HEADER.SizeOfNumberOfRvaAndSizes
SizeOfNumberOfRvaAndSizes指出IMAGE_DATA_DIRECTORY结构体个数。默认是0x10,可以看到图中是0xA0,剩下的区域则可以填充自己的代码。
红框中未被描深的地方是IMAGE_DATA_DIRECTORY结构体,一共0xA个,以NULL结尾。剩下的从0xB-0x10都填充了Upack的代码。
0x4 重叠节区
PE装载器会将文件偏移0-1FF的区域分别映射到3个不同的内存位置(文件头,第一节区、第三节区)。用相同的文件映像可以分别创建出处于不同位置的、大小不同的内存映像。
0x5 RVA to RAW
节区开始的文件偏移的PointerToRawData值应该是FileAlignment的整数倍。PE装载器发现第一个节区的PointerToRawData值不是FileAlignment的整数倍时,会强制将其识别为整数倍。
0x6 导入表
RVA是0x000261EE,大小为0x00000014
RAW=0x261EE-0x26000+0(本来是10,但是强制对齐了)=0x1EE
每个IID是20个字节。
从上图中看出,跟在后面的不是NULL结尾也不是第二个结构体。
从之前重叠节区那张图可以看到第三节区起始偏移为0x10,大小是0x1F0,所以第三节区到0x200就结束了,0x200以下的部分是不会映射的第三个节区内存的。剩下的地址用NULL填充。
0x7 导入地址表
根据0x6中的IID结构,可以得到如下信息:
INT:0(RVA)
Name:2
FirstThunk(IAT):11E8
Name的RVA值为2,属于Header区域,RAW也是1
11E8-1000+0=1E8
IAT区域,该处是Name Pointer(RVA)数组。有两个函数地址,0x28和0xBE