VC++检测可执行程序DLL、EXE等是32位还是64位
1.首先介绍PE结构
Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。(不管是学习逆向、破解...
分类:
其他好文 时间:
2015-05-07 16:43:51
阅读次数:
389
关于PE结构导入表,以前只是手动分析,没有通过编程来实现。而且PE文件结构,不巩固的话,一段时间之后就会忘记,所以记录下这次试验,为IAT挂钩做好准备,也算是复习一下。测试环境:windows xp sp3...
分类:
其他好文 时间:
2015-05-04 08:43:50
阅读次数:
253
学习Win PE结构笔记windows PE 文件是指windows系统中的一种文件格式,它包括 .exe, .dll, .sys, .ocx, .cpl, .scr, .drv, .efi, .fon .... 在了解PE文件结构以前,大家应该先明白下面几个名词的概念:1 虚拟地址(VA)wind...
AL.exe使用程序可以生成一个EXE文件或者DLL PE文件(其中只包含对其他模块中的类型进行描述的一个清单)。 不要在普通的命令行窗口中编译,请先打开C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Visual ...
分类:
其他好文 时间:
2015-04-24 12:30:16
阅读次数:
163
编写c++的pe类获取pe文件格式的类型。包括对32位、64位文件的区分;exe、dll、sys文件的区分。
分类:
其他好文 时间:
2015-04-22 23:57:20
阅读次数:
188
一. PE文件结构图二. DOS 头部其中最后一个字段DWORD e_lfanew;的值为PE文件头的相对偏移地址(RVA);三.PE文件头结构体的定义:IMAGE_NT_HEADERS:左边地址为相对PE文件头地址的偏移量。DWORD Signature:PE文件头标识,一般其值为:0x00004...
分类:
其他好文 时间:
2015-04-19 17:32:29
阅读次数:
246
一、病毒名称:Win32.Loader.bx.V
二、分析工具:IDA 5.5、OllyDebug、StudPE
三、PE病毒简介:
PE病毒感染的方式比较多,也比较复杂也比较难分析,下面就针对PE文件感染之加节的方式进行汇编层次的深度分析,其实说来惭愧,第一接触这个病毒样本的时候也有
点手足无措,最后还是在别人的指导下才顺利的分析下来,开始分析该样本的时候,仅仅关注这个样本是木马病毒这个...
HOOK api以前的做法是修改PE文件输入表,使其加载自定义的DLL去挂载对应的HOOK。具体实现方式是在调用原API函数前,将其前8个字节修改为跳转到自己定义的函数地址,执行完函数,又将原API前8个字节恢复,再调用原API,到达对API劫持的功能。在每次调用过程中,先修改前8字节,跳转到自定义...
分类:
其他好文 时间:
2015-04-08 00:43:46
阅读次数:
195
随着windows系统从Xp升级到Win7、Win8, 从32位升级到64位,PE文件结构在整体未变的情况下发生了一些小的变动,一方面是推荐的程序装载地址未采用,另一方面,导出函数序号不再是简单的升序,而是一定程度上的进行了乱序。本文首先对PE文件结构进行了详尽的解说,接着介绍了如何得出函数导出表,整个过程采用SysWoW64目录下的wininet.dll实例进行说明。在介绍过程中,明确指出了Win7、Win8等新系统相对Xp带来的区别。...
分类:
其他好文 时间:
2015-03-13 23:49:06
阅读次数:
427
PE头typedef struct _IMAGE_NT_HEADERS { DWORD Signature; PE头标识 为固定的ascii码 PE\0\0 IMAGE_FILE_HEADER FileHeader; 标准PE头 IMAGE_OPTI...
分类:
其他好文 时间:
2015-02-22 18:29:50
阅读次数:
129
