很久不玩PE格式了,这次由于要恢复SSDT表的缘故+一个忽然兴起的念头,导致我花了一个小午写了个运行在Ring0的简单PE加载器,并且有意外的收获。 恢复SSDT表手段很多,基本上都是直接从文件中依赖重定位表获取对应数据,重定位后得到相对当前内核加载位置的正确调用地址。大部分的实现代码比较粗糙,因为 ...
分类:
其他好文 时间:
2019-09-09 15:05:22
阅读次数:
130
对比windowsPE文件与概述 对比windowsPE文件与概述 在windows中可执行文件是pe文件格式,Linux中可执行文件是ELF文件,其文件格式是ELF文件格式,在Linux下的ELF文件除了可执行文件(Excutable File),可重定位目标文件(RellocatableObje ...
分类:
系统相关 时间:
2019-09-05 23:39:07
阅读次数:
144
一、静态库和共享库的区别 静态库在编译的时候被加载,而共享库在执行之后才被加载 加载静态库编译所生成的可执行文件比使用共享库的方式要大 静态库以.a为后缀,共享库以.so为后缀 二、静态库的制作 gcc -c add.c sub.c(编写源文件,gcc -c命令生成对应的目标文件add.o和sub. ...
分类:
系统相关 时间:
2019-08-29 11:09:36
阅读次数:
132
链接的过程中,所有未定义的符号都要进行一个重定位的过程,这些未定义的符号要么在其他的普通目标文件中(.o),要么在其他的动态库文件中,无论如何,要想链接成功,未定义的符号所在的文件一定要作为链接的输入。 链接成功完成后的符号,要么在自身模块中,要么在其他的动态库模块中。 ...
分类:
其他好文 时间:
2019-08-24 15:18:57
阅读次数:
61
FirstPayload// FirstPayload.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//?#include "pch.h"#include ?int main(){ __asm { SUB ESP,0x20 // 开辟一段栈空间,增加健壮性 push eb... ...
分类:
其他好文 时间:
2019-08-14 17:28:37
阅读次数:
96
文丨鄂攀上一期讲了数组在数据处理中的重要作用,这一期讲一下字典的重要性以及使用。字典的四大重要作用:1.字典运行速度快2.去重3.定位4.汇总●如果你的主数据具有唯一性,那么建议用字典去处理,它的处理效率极快。●如果一个数据模块里面有重复的,你也可以通过字典快速的把重复数据去掉,只留下唯一的元素。●如果你想知道某个元素有没有存在在字典中,也可以直接在字典中进行元素判断。●如果数据量不大,你可以通过
分类:
其他好文 时间:
2019-08-14 14:48:48
阅读次数:
98
一丶何为重定位 重定位的意思就是修正偏移的意思. 如一个地址位 0x401234 ,Imagebase = 0x400000 . 那么RVA就是 1234. 如果Imagebase 变了成了0x300000, 那么修正之后就是 ImageBase + RVA = 0X300000+1234 = 0x ...
分类:
其他好文 时间:
2019-08-06 00:38:09
阅读次数:
80
IAT在内存中和在文件中的特征? IAT在内存中是一个函数地址数组,在文件是是一个RVA数组 重定位的原理是什么? 重定位地址的计算: addr = 映像基地址+VA+OffSet 重定位地址处的数据: [addr] – 原基地址 + 现基地址 [addr] + (现基地址–原基地址) 重定位在内存 ...
分类:
其他好文 时间:
2019-07-31 22:25:26
阅读次数:
133
1、预处理 源代码文件中头文件、宏定义等进行分析,生成预编译文件 预处理阶段:对源代码文件中文件包含关系(头文件)、预编译语句(宏定义)进行分析和替换,生成预编译文件。 编译阶段:将经过预处理后的预编译文件转换成特定汇编代码,生成汇编文件 汇编阶段:将编译阶段生成的汇编文件转化成机器码,生成可重定位 ...
分类:
编程语言 时间:
2019-07-28 15:47:16
阅读次数:
223
韦东山老师一期中断课程学习: 总结: 程序启动后工作流程,程序从0地址开始执行Reset --》 重定位 --》ldr pc,=main [绝对跳转到SDRAM中执行main()函数],main函数中调用各种函数(初始化函数)。 根据S3C2440的Exception Vectors可以知道, 当发 ...
分类:
其他好文 时间:
2019-06-19 21:39:02
阅读次数:
119
