前几天和朋友交流技术,提到手工打造微型PE文件,他说现在网上流传的大部分版本在XP SP3下都不能运行,于是心血来潮,拍着胸脯说:“你放心,忙完了帮你做一个。”后来花了半天时间,终于打造出一个XP下可运行的微型PE,弹出一个对话框,292字节,当然这离极限也许还差得远,不过自己做了一次,还是有些心得...
分类:
其他好文 时间:
2014-09-05 12:54:21
阅读次数:
252
Emit的准确定义,我们看看微软给出的答案System.Reflection.Emit命名空间包含{允许编译器或工具发出元数据和发出Microsoft 中间语言 (MSIL) ,并可选择在磁盘上生成 PE 文件的类。这些类的主要客户端是脚本引擎和编译器。}Emit可以直接让编译器发出元数据及msil...
分类:
其他好文 时间:
2014-09-04 20:43:00
阅读次数:
215
PE文件是以64字节的DOS文件头开始的(IMAGE_DOS_HEADER),接着是一段小DOS程序,然后是248字节的NT文件头(IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出!NT文件头的前4个字节是文件签名(“PE00"字符串),紧...
分类:
其他好文 时间:
2014-09-04 16:39:19
阅读次数:
378
一、PE结构基础看了很多PE结构类的东东,要不上来就是整体结构,要不就是一大堆ASM代码,看的我等菜鸟有点难受!所以自己写个帖·学习PE我们先来弄懂几个问题!1:几个地址的概念VA:虚拟地址,也就是内存中的地址!RVA:相对虚拟地址,等于VA-ImageBaseOffset:物理地址,磁盘上文件的地...
分类:
其他好文 时间:
2014-09-03 16:31:56
阅读次数:
263
有很多介绍PE文件的文章,但是我打算写一篇关于输入表的文章,因为它对于破解很有用。 我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的,有一个比较小的输入表,所以我想它应该是个不错的范例。 好了,让我.....
分类:
其他好文 时间:
2014-09-03 16:18:26
阅读次数:
215
先来看一个可执行文件的实例:本例程打开一PE文件,将所有引入dll和对应的函数名读入一编辑控件,同时显示IMAGE_IMPORT_DESCRIPTOR结构各域值。C:\QQDownload\blah.EXE================[ IMAGE_IMPORT_DESCRIPTOR ]====...
分类:
其他好文 时间:
2014-09-03 16:16:46
阅读次数:
293
PE:Portable Executable File Format(可移植的执行体)。Windows平台主流可执行文件格式。.exe与.dll文件都是PE格式。32位的叫做PE32,64位的叫做PE32+。PE文件格式定义在winnt.h头文件中。PE文件格式总览:PE文件使用的是一个平面地址空间...
分类:
其他好文 时间:
2014-09-02 15:35:14
阅读次数:
249
能实现基本的信息获取区段信息数据目录信息导入表函数分析导出表函数分析,能同时解析只序号导出和以函数名序号同时导出的函数FLC计算需要源码的可以留邮箱。
分类:
其他好文 时间:
2014-09-02 14:05:54
阅读次数:
197
1.实例1国外的人写的最小的PE文件--97Bytes4D5A0000504500004C0101006A2A58C30000000000000000040003010B0108000400000000000000040000000C000000040000000C00000000004000040...
分类:
其他好文 时间:
2014-09-02 14:00:04
阅读次数:
220
(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT { +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp // Bytes on la...
分类:
其他好文 时间:
2014-09-01 20:58:23
阅读次数:
603
