PE手术刀模块

你是闰土我是猹

本模块是用于修改PE文件的

现在把它又改成了类,操作更方便,也增加了新功能,算是我学习PE结构的一小步吧

更新日志(更新的主要功能,小的或不重要的功能不会提及,模块内有详细注释):

1.[增加的函数与类]

TLS解析相关函数      TLS特点:先于main函数运行 以前被人用来反调试

导出表解析相关函数

判断PE文件类型()     判断是32位PE还是64位PE以及是EXE还是DLL还是驱动

类_数据封装            封装常用的shellcode以及常量在修改PE文件的时候方便调用

置_DEP与ASLR()      用于设置PE文件是否使用数据执行保护技术或者ASLR(ASLR开启会导致EXE的基质成为动态的,需要重定位表支持) 没测试过不知道是否有效.

取_结构地址()

2.[优化了逻辑的函数]

导入表解析相关函数

区段_偏移量转换() 转换第一个区段前的地址不会返回0了

取_API指针()

3.[其他更改]

删除函数-取区段最大缝隙(不稳定)

4.[本次更新说明]

本次更新修改了许多解析函数的逻辑,可以很好的解析畸形PE文件(某些畸形PE文件用PEID查看所显示的值都不正确,可能是PEID太老了,后面改成了用exeinfo,但用exeinfo查看导出序号不连续的DLL的导出表的函数也会显示ERROR,
但是这些PE文件在windows下都是可以正常运行的)
部分功能经过测试,没被测试过的功能可能有BUG

下载链接:https://t00y.com/file/20110282-442030599