ELF文件格式,是一个开放的可执行文件和链接文件格式,其主要工作在Linux系统上,是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件,ELF文件格式类似于PE格式,但比起PE结构来ELF结构显得更加的简单,Linux文件结构相比于Windows结构来说简单一些. 读取ELF头: ...
分类:
其他好文 时间:
2020-05-22 12:56:49
阅读次数:
57
MSVC在Windows下编译c/c++ gcc andg++分别是GNU的c & c++编译器,在Linux下面用。 cmake&qmake分别用来build c和qt工程,输入是makefile,输出结果是可执行文件,build的过程会调用编译器和连接器来完成整个过程。 MINGW包含gcc和一 ...
分类:
编程语言 时间:
2020-01-20 14:47:51
阅读次数:
95
PE头解析 [TOC] PE 格式是Windows系统下组织可执行文件的格式。PE文件由文件头和对应的数据组成。目标是在不同的架构下装载器和编程工具不用重写。 PE中一大特点是不连续的位置大部分记录的都是相对地址(RVA),相对的是PE文件中记录的基地址(image base)的偏移量。进程是程序的 ...
分类:
其他好文 时间:
2019-11-14 17:55:48
阅读次数:
89
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表 ...
分类:
其他好文 时间:
2019-10-27 18:18:41
阅读次数:
89
很久不玩PE格式了,这次由于要恢复SSDT表的缘故+一个忽然兴起的念头,导致我花了一个小午写了个运行在Ring0的简单PE加载器,并且有意外的收获。 恢复SSDT表手段很多,基本上都是直接从文件中依赖重定位表获取对应数据,重定位后得到相对当前内核加载位置的正确调用地址。大部分的实现代码比较粗糙,因为 ...
分类:
其他好文 时间:
2019-09-09 15:05:22
阅读次数:
130
进程创建期修改PE输入表法的原理和静态修改PE输入表完全相同,可以在R3/R0的各个阶段进行干预(必须在主线程运行之前)。 1.以读写方式打开目标文件: 这里可以加上个文件是否打开的判断,如果失败则返回,如果成功则开始获取目标进程中的PE结构信息。 2.1 首先将要解析PE格式的初始值定义成构造函数 ...
分类:
系统相关 时间:
2019-09-03 16:40:19
阅读次数:
158
一丶熟悉IDA,以及手工制作sig文件. IDA,静态分析工具,网上随便找一个即可下载. 首先,我们写一个可执行EXE,最简单的 使用IDA打开. 1.提示使用什么格式打开 因为是PE格式,所以我们选择PE即可.点击OK 2.重新打开一下 如果以前已经打开过这个PE,那么重新打开,则会显示这三个按钮 ...
分类:
其他好文 时间:
2019-07-21 01:47:26
阅读次数:
185
PE文件解析 基础篇 来源 https://bbs.pediy.com/thread-247114.htm 前言 之前学习了PE格式,为了更好的理解,决定写一个类似LoadPE的小工具。 编译器是VS2015,采用MFC框架。 此系列文章采用边介绍知识点,边写代码的形式,以免变的无聊丧失兴趣。 PE ...
分类:
其他好文 时间:
2018-10-20 17:28:57
阅读次数:
247
写在前面的话 这篇文章将介绍使用codecaves对PE文件植入后门代码。有几个很好的工具可以帮到你了。比如BackdoorFactory和Shelter将完成相同的工作,甚至绕过一些静态分析几个防病毒。 开始 让我们理解一些术语: PE文件: 可移植可执行文件(PE)格式是可执行文件,目标代码和D ...
分类:
其他好文 时间:
2018-08-09 14:52:49
阅读次数:
240