信息收集 IP AddressOpening Ports10.10.10.147TCP:22，80，1337 $ nmap -p- 10.10.10.147 --min-rate 1000 -sC -sV PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol

最近找到一个程序，放到Winhex中发现节区表中有UPX0、UPX1节区，相反没有.data、.text 于是怀疑是加了UPX的壳，使用PEid等工具查壳，均没有提示加壳。有使用UPX官网的脱壳工具拓壳，依旧提示没有UPX的壳。 于是怀疑就是没有加UPX的壳，而是人为修改了节区名，故意误导分析者。 思考一下节区从文件加载到内存的过程：是把节区内容加载到指定虚拟内存处，DOS头、NT头、节

.reloc节区 EXE形式的PE文件中，“基址重定位表”项对运行没有什么影响，实际上，将其删除后程序仍能正常运行。VC++中生成的PE文件的重定位节区名为.reloc，删除该节区后文件照常运行，且文件大小将缩减，.reloc节区一般位于所有节区的最后。 若要删除位于文件末尾的.reloc节区，需要按照以下4个步骤操作： 整理.reloc节区头删除.reloc节区修改IMAGE_FILE_H