在PE文件头与原始数据之间存在一个区块表(Section Table),它是一个IMAGE_SECTION_HEADER结构数组, 区块表包含每个块在映像中的信息(如位置、长度、属性),分别指向不同的区块实体。 全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节 ...
分类:
其他好文 时间:
2020-01-30 18:54:24
阅读次数:
125
struct _IMAGE_FILE_HEADER { WORD Machine; //运行平台 WORD NumberOfSections; //文件的区块数目 DWORD TimeDateStamp; //文件创建日期和时间 DWORD PointerToSymbolTable; //指向符号表 ...
分类:
其他好文 时间:
2020-01-30 14:12:05
阅读次数:
108
PE文件格式 名词 入口点:PE文件执行时的入口点,也就是程序执行的第一行代码 文件偏移地址:磁盘上的PE文件,各数据的地址称做文件偏移地址。文件偏移地址从PE文件第一个字节开始计数,起始为0 相对虚拟地址:某一虚拟地址(VA) = 基地址(ImageBase) + 相对虚拟地址(RVA) 文件格式 ...
分类:
其他好文 时间:
2020-01-23 11:19:03
阅读次数:
105
记录一下C#代码的编译: C#编译器把源代码编译成托管模块; 托管模块是可移植执行体文件,可移植执行体文件也叫PE文件; 托管模块中有什么: 1、PE头:标识文件类型,标识文件生成时间; 2、CLR头:CLR版本,托管模块入口main方法的信息; 3、元数据:描述源代码中定义的类型和成员,描述源代码 ...
文件上传漏洞 一、client check 首先看到标题是客户端验证 用BURP抓包,由于是客户端的检验,直接将抓到的包的文件后缀.png改成.php 发送后发现成功绕过,上传成功 二、MIME type MIME类型还是要借助Burp工具来利用 将content type文件头改成png的文件头 ...
分类:
Web程序 时间:
2019-12-21 20:37:52
阅读次数:
118
# 汇编 JMP 详解 ## 关键词说明 **RVA:** 相对虚拟地址(Relative Virtual Address),在内存中相对于PE文件装入地址的偏移位置,是一个相对地址。 ## JMP 目标地址计算方式 目标地址 = 当前指令地址 + 指令长度 + RVA ### JMP 有 3 种类... ...
分类:
其他好文 时间:
2019-12-08 15:48:20
阅读次数:
208
PE头解析 [TOC] PE 格式是Windows系统下组织可执行文件的格式。PE文件由文件头和对应的数据组成。目标是在不同的架构下装载器和编程工具不用重写。 PE中一大特点是不连续的位置大部分记录的都是相对地址(RVA),相对的是PE文件中记录的基地址(image base)的偏移量。进程是程序的 ...
分类:
其他好文 时间:
2019-11-14 17:55:48
阅读次数:
89
最近在自学解析PE文件,根据小辣椒(CFF Explorer)以及各论坛上大佬的帖子,做了个黑屏打印PE文件的,历时7天完成,在此想跟有相关需要的同学们分享下思路,有不足之处也希望大家不吝赐教,指点出来。谢谢。 PE文件主要有DOS头,NT头(包含PE头,可选PE头,可选PE头中又包含着一个数据目录 ...
分类:
其他好文 时间:
2019-11-02 09:35:49
阅读次数:
71
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表 ...
分类:
其他好文 时间:
2019-10-27 18:18:41
阅读次数:
89
之前大篇文章提到,ESRI说AE10.0以后已经不支持WebService的发布,经过一段时间的测试,发现目前10.2.2版本开始的WCF服务都可以正常发布,且运行正常。 先说一下之前遇到的问题,本机测试和发布都没有任何问题,一到WINDOWS SERVER上发布,遇到AE数据编辑就会报错,错误都是 ...
