如何恢复丢失的PE头?

时间:2017-12-01 20:30:57

标签: windows assembly x86 portable-executable ida

我有一个二进制文件,曾经是一个有效的PE可执行文件,但所有标题都被删除了(DOS标题,PE标题和部分表)。我设法猜测一个部分是.text,因为如果在IDA中转换为asm,它会显示一些有效的asm代码。 .rdata也很容易找到,因为它包含一些与程序逻辑相对应的字符串。但没有进一步的进展。我想我不是第一个偶然发现这个问题的人,并且有工具/方法来生成PE头。有什么建议吗?

1 个答案:

答案 0 :(得分:1)

我认为你会遇到一些无法修复的问题

  • 入口点(二进制开始的地方)
  • 重新定位(但您可以修改基本地址以跳过它)
  • 基地址(但一般情况下,只需知道x86或x64是否相同)
  • 图书馆使用它和外部函数
  • 也许是py2exe的资源为python字节码
    • 创建了一个资源
  • 如果你在二进制文件中有一个tls fls,那么最后的事情肯定是其他的
相关问题
最新问题