相对虚拟地址和文件偏移间的转换 RVA是相对虚拟地址(Relative Virtual Address)的缩写。RVA是当PE 文件被装载到内存中后,某个数据位置相对于文件头的偏移量。 例如:导入表的位置和大小可以从PE文件头中IMAGE_OPTIONAL_HEADER32结构的数据目录字段中获取, ...
分类:
其他好文 时间:
2017-11-05 22:25:40
阅读次数:
183
脱壳第三讲,UPX压缩壳,以及补充壳知识 一丶什么是压缩壳.以及壳的原理 在理解什么是压缩壳的时候,我们先了解一下什么是壳 1.什么是壳 壳可以简单理解为就是在自己的PE文件中包含了代码.而有不影响我们的PE文件的执行. 2.什么是压缩壳 压缩壳指的是让我们的PE文件变小. 3.压缩壳原理 首先可以 ...
分类:
其他好文 时间:
2017-11-01 01:17:46
阅读次数:
299
PE文件格式详解,第三讲,可选头文件格式,以及节表 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶可选头结构以及作用 typedef struct _IMAGE_OPTIONAL_HEADER { 需要注意的成员: ...
分类:
其他好文 时间:
2017-10-12 00:58:48
阅读次数:
260
PE文件格式详解,第二讲,NT头文件格式,以及文件头格式 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) PS:本篇博客默认你已经有了汇编基础,所以会使用32位汇编编写最小PE进行讲解 今天详解NT 头格式,以及文件头格 ...
分类:
其他好文 时间:
2017-10-11 11:13:46
阅读次数:
331
PE文件格式详解,第一讲,DOS头文件格式 今天讲解PE文件格式的DOS头文件格式 首先我们要理解,什么是文件格式,我们常说的EXE可执行程序,就是一个文件格式,那么我们要了解它里面到底存了什么内容 简短的说明. 我们要知道,PE文件格式,是微软半公开的,因为微软并没有说明这个文件格式.但是微软有定 ...
分类:
其他好文 时间:
2017-10-10 10:03:09
阅读次数:
213
PE原理就不阐述了, 这个注入是PE感染的一种,通过添加一个新节注入,会改变PE文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节。 步骤: 1.添加一个新节;映射PE文件,判断是否可以加一个新节,找到节的尾部,矫正偏移,对齐RVA 填充新 ...
分类:
其他好文 时间:
2017-08-26 14:27:27
阅读次数:
308
PE (Portable Executable):微软参考COFF(Common Object File Format)规范,在Windows NT系统上制定的一种标准, 用于exe可执行文件、obj目标文件和dll动态链接库等文件格式。PE32+是PE的64位扩展,其并未添加额外结构,只是把原来3 ...
分类:
其他好文 时间:
2017-08-23 23:03:10
阅读次数:
266
程序集内部包含了各种相关的模块、资源文件、配置文件等,将这些在功能上相关的文件整合到单个文件中,以便于部署和维护。使用C#编译器编译程序时,生成的便是程序集。 一、清单数据 a)如果编译的是独立应用程序或是dll,清单数据会被保存在生成的PE文件中,这被称为单文件程序集;但如果是多文件程序集,清单数 ...
PE是Portable Executable File Format(可移植的运行体)简写,它是眼下Windows平台上的主流可运行文件格式。 PE文件里包括的内容非常多,详细我就不在这解释了,有兴趣的能够參看之后列出的參考资料及其它相关内容。 近期我也在学习PE文件格式,參考了很多资料。用C++封 ...
分类:
编程语言 时间:
2017-07-26 12:41:06
阅读次数:
156
// SectionOp.cpp : 定义控制台应用程序的入口点。// /*************************************************程序说明:在32位PE文件中的任意一个节中添加代码* 第一个参数为PE文件 第二个参数为第N个节** 时间: 20170718*... ...
分类:
其他好文 时间:
2017-07-19 01:16:33
阅读次数:
247
