Stud_PE

查看UPack后的文件：

比较PE头文件

原始的PE文件头

UPack后的PE文件头

分析UPack的PE文件头

重叠文件头

在MZ文件头中，除了e_magic和e_lfanew以外，其他参数对于程序运行而言都不重要。

IMAGE_FILE_HEADER.SizeOfOptionalHeader

• IMAGE_FILE_HEADER.SizeOfOptionalHeader表示IMAGE_OPTIONAL_HEADER结构体的长度（E0），修改该值可以向文件头插入解码代码。
• UPack将其改为148
  
  
• IMAGE_FILE_HEADER.SizeOfOptionalHeader另一层的含义为确定节区头的起始偏移
  • IMAGE_SECTION_HEADER的位置=IMAGE_OPTIONAL_HEADER的起始偏移地址+SizeOfOptionalHeader
  • UPack向其中插入了代码（28+148=170）
    

IMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizes

• NumberOfRvaAndSizes：用来指出紧接在后面的IMAGE_DATA_DIRECTORY结构体数组的元素个数
  • 正常文件中IMAGE_DATA_DIRECTORY的个数为10，UPack改为了A
  • 所以后6个元素会被忽略，进而在这块复写了自己的代码

重叠节区

• 实际上源文件压缩于第二节区
• 第一节区内存尺寸为14000，与原文件的SizeOfImage相同，所以第二节区的文件映像会被原样解压到第一节区。
• 原notepad.exe有3个节区，但会被解压到一个节区。

RVA to RAW

按照计算：
RAW=1018-1000+10=28

但其实由于PointerToRawData值应该是FileAlignment（200）的整倍数，所以会变成0：
RAW=1018-1000+0=18

导入表

RVA---->RAW：
271EE-27000+0=1EE

• 根据规范，导入表由一系列IMAGE_IMPORT_DESCRIPTOR结构体组成，最后由一个内容为NULL的结构体结束
• 但其后并不是第二个结构体，也非NULL，因为黄线以上才会被映射到内存区域，剩下部分全部填充NULL，所以也到了规范的要求

参考文献

《****核心原理》