《逆向工程核心原理》學習筆記6 執行時壓縮

2021-10-03 02:55:29 字數 999 閱讀 2202

一、壓縮檔案十分常見,只要通過一定的壓縮演算法,就能縮減檔案的大小。

二、而執行時壓縮是針對pe可執行檔案而言的,和普通壓縮器相比,執行時壓縮器的明顯不同是「pe檔案的可執行性」。

三、常見的壓縮器有:upx,aspack等

.\upx -o notepad_upx.exe notepad.exe
可以看到notepad.exe被壓縮成notepad_upx.exe的資訊,如果壓縮後還想再看看notepad_upx.exe壓縮的資訊,可以輸入以下命令列

.\upx -l notepad_upx.exe
就會出現以下的資訊

可以看到,檔案的大小從67584縮小為48640,壓縮比為71.97%

我們再用peviewer來看看壓縮前和壓縮後有什麼區別

這是沒壓縮前的notepad.exe

這是壓縮後的,可以看到,它們的變動主要在節區部分,原來的.text節區和.data節區分別變成了upx0和upx1,相應的各自的節區頭也發生了改變,點開檢視,發現upx0的大小為0!

我們看看upx0的節區頭,看看能不能發現什麼

這就是說,在執行該.exe的瞬間,會有**解壓到這個節區,書上還說,解壓縮和壓縮的源**都在第二節區(我也不知道為啥)。書上還說,解壓完就可以開始進入ep了。

《逆向工程核心原理》學習筆記 六

記錄一下關於書中pe檔案格式內容的學習 上部分 pe portable executable 格式,是微軟win32環境可移植可執行檔案 如exe dll vxd sys和vdm等 的標準檔案格式。pe格式衍生於早期建立在vax r vms r 上的coff common object file f...

逆向工程核心原理 2019 8 28早上

早起傻一天,位元組序大端序和小端序 學過彙編一般都能看懂是什麼意思。大端序 就是按著順序來排列 看起來比較直觀 但如果按高地位來分的話。大端序就是 資料的高位放在記憶體的低位 資料的低位放在記憶體的高位。小端序 看上去是反正來放。但是按高地位來分的話。小端序就是資料的高位放在記憶體的高位 資料的低位...

逆向工程核心原理 第十八章

我們使用add.exe檔案 我們將add.exe檔案拖入upack加殼工具,這裡的版本是0.39final,lc選擇6 點選確定後得到add.exe.bak的檔案,我們去掉.bak後就可以直接使用了,這裡為了區分,我將加殼後的檔案取名為add upack 6.exe。首先我們先使用hex瀏覽器檢視加...