吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 4533|回复: 16
上一主题 下一主题

[调试逆向] 使用010editor修改PE文件随机基址

  [复制链接]
跳转到指定楼层
楼主
zyjsuper 发表于 2019-8-5 12:27 回帖奖励
本帖最后由 zyjsuper 于 2019-8-5 12:41 编辑

我们在windows逆向时,经常会遇到PE文件的基地址随机的情况,不利于反汇编的对比分析,比如利用OD反汇编时的地址和IDA反汇编时就会有不同,两者在对比分析过程中就很难对应上。所以才有了下面的介绍,分享给刚开始学逆向的朋友们,大神们飘过,不才膜拜中........
0x00:所需工具

010Editor windows版
下载链接:http://www.sweetscape.com/download/010EditorWin64Installer.exe   
                http://www.sweetscape.com/download/010EditorWin32Installer.exe

0x01:安装模版
打开010editor之后,依次选择"Tools"——>"Options",然后的操作如图所示,继续选择"Templates"——>"Show...",然后在左侧列表中找到"EXE.bt"右击选择"Install",安装PE文件的分析模版,其他模版可参考此步骤自行安装。


0x02:修改基址
本例以winrar为样本,将随机地址修改为固定地址。
用010Editer打开winrar.exe文件,如果打开文件后没有显示PE文件结构窗口,那么我们就需要按照下图所示的步骤调出窗口,依次选择菜单"Templates"——>"Executable"——>"EXE"。

再分享一个小技巧,默认窗口排列是上下结构的,如果改成左右结构需要按下图所示操作。上图中,在下面的窗口空白处右击,依次选择"Templates Results Position"——>"Right"。

进入正题,下面是真正修改基址的关键,按下图所示依次展开树状结构,将"WORD IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE"字段对应的Value值由"1"改成"0".
也可以将左侧窗口对应的hex值"6081"改成"2081",对应32位程序的话,此处是"4081"改成"0081","WORD IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE"的值修改成"0",和64位操作方法一样。

0x03:验证结果
因位OD没有办法加载64位的winrar,所以验证的时候我改成了32位的winrar来验证。
未修改随机基址前,OD载入32位winrar.exe如图所示:

修改之后如图:

0x04:总结
随机基址的问题主要出现在使用OD来分析32位PE文件时,会遇到这样的问题,而使用IDA或者其他反汇编工具时没有此问题,不需要修改随机基址,其他用途不才也没遇到。此文旨在抛砖引玉,望大神不吝赐教,指导一二。


附图:32位PE文件修改方法

·.png (330.04 KB, 下载次数: 0)

·.png

免费评分

参与人数 1吾爱币 +6 热心值 +1 收起 理由
Hmily + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
老伙计 发表于 2019-8-5 14:54
本帖最后由 老伙计 于 2019-8-5 16:14 编辑

    论坛上发过一个名叫 “aslr_disabler.exe” 的工具,就是专门关闭 PE 文件随机基址的。

    https://www.52pojie.cn/thread-377450-1-1.html
推荐
emberd 发表于 2019-8-5 13:16
我记得H大说过,用LordPE把特征值的第一个“重定向已分离”勾上就行了
沙发
cptw 发表于 2019-8-5 12:43
3#
saomu007 发表于 2019-8-5 12:43
沙发  沙发 哈哈
4#
bester 发表于 2019-8-5 12:49
能否解释一下为何要这样改?
5#
 楼主| zyjsuper 发表于 2019-8-5 12:59 <
bester 发表于 2019-8-5 12:49
能否解释一下为何要这样改?

因为我总结中也提到了,如果不改的话,od在分析时基地址是随机的,而不是400000,所以在和ida或者其他软件对比分析上,地址就很难一致对应的。至于为何要改那个字段,需要对pe文件结构有一定了解,其实作用也不大。
7#
冥界3大法王 发表于 2019-8-5 14:08
原来这个和另外两个一样也支持模版啊。
8#
Snedto 发表于 2019-8-5 14:19
这个好多工具都可以随意修改的
10#
luli1111 发表于 2019-8-6 06:46
用LordPE把特征值的第一个“重定向已分离”勾上
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-12-15 09:16

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表