本模块是用于修改PE文件的
现在把它又改成了类,操作更方便,也增加了新功能,算是我学习PE结构的一小步吧
更新日志(更新的主要功能,小的或不重要的功能不会提及,模块内有详细注释):
1.[增加的函数与类]
TLS解析相关函数 TLS特点:先于main函数运行 以前被人用来反调试
导出表解析相关函数
判断PE文件类型() 判断是32位PE还是64位PE以及是EXE还是DLL还是驱动
类_数据封装 封装常用的shellcode以及常量在修改PE文件的时候方便调用
置_DEP与ASLR() 用于设置PE文件是否使用数据执行保护技术或者ASLR(ASLR开启会导致EXE的基质成为动态的,需要重定位表支持) 没测试过不知道是否有效.
取_结构地址()
2.[优化了逻辑的函数]
导入表解析相关函数
区段_偏移量转换() 转换第一个区段前的地址不会返回0了
取_API指针()
3.[其他更改]
删除函数-取区段最大缝隙(不稳定)
4.[本次更新说明]
本次更新修改了许多解析函数的逻辑,可以很好的解析畸形PE文件(某些畸形PE文件用PEID查看所显示的值都不正确,可能是PEID太老了,后面改成了用exeinfo,但用exeinfo查看导出序号不连续的DLL的导出表的函数也会显示ERROR,
但是这些PE文件在windows下都是可以正常运行的)
部分功能经过测试,没被测试过的功能可能有BUG
