En estos días ando leyendo distinta documentación sobre el formato PE, la tabla de importación de los ejecutables, etc…
Os dejo 3 documentos interesantes sobre el tema. El primero trata sobre la estructura del formato PE, explica algo de la tabla de importaciones y de la de exportaciones. 044-ESTUDIO DE LOS ENCABEZADOS PE parte 1 POR SICK TROEN.zip 048-ESTUDIO DE LOS ENCABEZADOS PE parte 2 POR SICK TROEN.zip
En estas 4 “teorias” Ricardo Narvaja explica lo de que es la Import Table, como recomponerla a mano tras haber dumpeado un archivo comprimido con UPX e incluye un script para reparar la IAT. Realmente bueno. 253-IMPORT TABLES A MANO (parte 1).rar 254-IMPORT TABLES A MANO (parte 2).rar 255-IMPORT TABLES A MANO (parte 3).rar 256-IMPORT TABLES A MANO (parte 4).rar
Y el mas interesante y completo de todos es el artículo de la revista Codebreakers “Portable Executable File Format – A Reverse Engineer View” basta con ver el índice:
1 Introduction
2 Basic Structure
3 The DOS Header
4 The PE Header
5 The Data Directory
6 The Section Table
7 The PE File Sections
8 The Export Section
9 The Import Section
10 The Loader
11 Navigating Imports on Disk
12 Adding Code to a PE File
13 Adding Import to an Executable
14 Introduction to Packers
15 Infection of PE Files by Viruses
16 Conclusion
17 Relative Virtual Addressing Explained
18 References & Bibliography
19 Tools Used
20 Appendix: Complete PE Offset Reference
Felices lecturas!
Muchas gracias por los enlaces!! No sabes lo bien que me vienen :D (estoy ahora con un curso de análisis de Malware y esto me viene simplemente de perlas)
ResponderEliminarY gracias también por los otros post sobre PE, me están siendo muy útiles :)
Un placer!
ResponderEliminarRicardo Narvaja = faquin master!
ResponderEliminar