一、实验目的

        通过使用winHex手动 在原来的文件中 追加节（.text代码节、.rdata引入函数节、.data数据节），然后利用stud_pe添加节表的name,大小等信息，对一个pe文件进行修复，从而了解一个pe文件的具体构成

二、实验步骤：

1.调试分析程序，找出错误原因。

2.从所给信息中分析出数据应该在哪个段及在PE文件中的位置，添加至文件。

3.修复其他涉及到段结构的部分，调试程序，使之正常运行

 

三、具体操作:

1.首先使用winhex 和 stud_pe找出问题所在:

(1)首先，直接打开程序和用OD打开程序都失败了

(2)然后，用stud_pe打开文件，发现number of sections 为0，这个肯定有问题，节的数目至少得有3个吧，然后，打开dataDerictory，全0，这就问题大了

(3)之后，用winHex打开，文件的总共大小为0-3FF，而文件的对齐为200H，所以，只有pe头部分和节表，节的具体内容根本没有

2.具体分析clues.txt中的3个节分别是rdata,text还是data:在winhex中分别进行打开创建,然后分析对应的ascii的内容:

(1)这个很明显是.data节的内容

 (2)这个很明显是.rdata节的内容：

（3）最后那个节必然就是.text节的内容了，不信的话，可以用OD试一试，翻译这个2进制的汇编含义：

操作，用OD随便打开一个程序比如winhex.exe，然后在一个全0的位置点击鼠标右键二进制，编辑，直接copy进去，点ok之后，就可以在对应的位置看到汇编代码了，很明显的push，call等语句好吗

 

3、重点来了，使用winhex对节内容进行填充！

（1）分析3个段表的位置：

程序的入口地址为1000(RVA),ImageBase为400000，sectionsAlignment为1000，FileAlignment为200.

Clues.txt中是每个段表中的信息，每个段表中的内容都小于文件对齐大小0x200和段内存对齐的大小0x1000.所以在pe结构中，文件的结构布局应该是：

PE头（文件分布 0-3FF）内存分布40000-41000

SECTION1(文件分布400-5FF)内存分布   41000-42000

SECTION2(文件分布600-7FF)   内存分布   42000-43000

SECTION3(文件分布800-9FF)   内存分布   43000-44000

pe头加载到内存后的VA为1000.而程序的入口地址也为1000，说明代码段应该是第一个段表。

（2）开始使用winHex进行填充:

 第一部分：1024字节的代码区

 

第二部分——1024字节的rdata引入函数区:

第三部分：1024字节的data数据区：

 

4.最后一步，就是在stud_pe软件中添加这3个节的 对应的节表的内容！:

 （1）比如，填写第一个.text代码节表，

virtualsize 和 rawsize 都是指有效的字节数目

rawoffset就是200字节对齐的文件位置

virtualoffset就是1000字节对齐的内存位置

最后属性自己选右边即可

(2)效果：

 

 5.进一步使用ollydebug对现实的字符串进行改正：

通过对这个00403007进行窗口跟随，发现这个字符串就是lab

所以，通过修改汇编为0040300D,数据才会变成下面这个