PE文件格式分析系列(文章2)----一个PE文件rdata段的分析(Win32工程Release版)(一)

最新推荐文章于 2022-10-08 00:49:06 发布
VIP文章 最新推荐文章于 2022-10-08 00:49:06 发布
阅读量4.4k 收藏
点赞数
分类专栏: PE文件结构学习 文章标签: import descriptor image mfc c user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bagboy_taobao_com/article/details/7686714
版权

PE文件格式分析系列(文章2)

一个PE文件rdata段的分析(Win32工程Release版)(一)

在分析MFC工程调试版的PE文件时, 导入表在idata段
而这个Win32工程Release版的PE文件, 导入表在rdata段, 并且rdata段不仅包含导入表信息,
还包含了一些常量, 例如一些字符串信息等. 下面先分析idata段.


IMAGE_DIRECTORY_ENTRY_IMPORT  (01 VirtualAddress:0x0000543C; Size:0x0000003C).rdata
OriginalFirstThunk       Name               FirstThunk    Count   StrName
0x00005514                 0x0000552A    0x0000509C  1          USER32.dll
0x00005478                 0x000057D0    0x00005000   38       KERNEL32.dll

一. 该PE文件使用了2个DLL
分别是:
1. USER32.dll
2. KERNEL32.dll

第2个段 .rdata 0x7DE(内存中实际数据大小)  0x5000(文件中位置) 0x1000(文件对齐大小)
也就是说.rdata 段在0x5000---0x6000(0x5000---0x57DE是有用数据)

Import 数据目录 RVA:543C  Size:3C
IAT 数据目录    RVA:5000  Size:A4

这次与MFC工程调试版的PE文件不同, IAT放在前面
明显看到
这是KERNEL32.dll的IAT(0x26 + 1个)
00005000 | BA 56 00 00 BE 57 00 00 |
00005008 | 36 55 00 00 4A 55 00 00 |
00005010 | 5C 55 00 00 6E 55 00 00 |
省略......
00005088 | 76 57 00 00 8C 57 00

最低0.47元/天 解锁文章
小大小丑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
箱线图汇总-多组箱线图的Rdata文件
03-25
多组箱线图的Rdata文件
【恶意代码与软件安全分析】(一)PE——可执行文件
cwllll的博客
04-23 1323
【恶意代码与软件安全】课程与实验
PE文件解析--导入函数节.rdata
凌阳的博客
06-08 2350
讲导入函数节,就必须介绍一下Datadirectory:Datadirectory放在可选文件头optional_header里面,有16个项,每项8字节,里面存放的是每个导入函数节,导出函数节等节的信息。可选文件头optional_header: 例如:14 20 00 00 3c 00 00 00前4位:代表该节的RVA,14 20 00 00RVA=0002014后4位:代表该节的大小,0x0000003c=60下面按rdata存放的顺序介绍,注意此表的地址是文件地址:其RVA(内存)=0x000
PE】修改PE .rdata 区块属性 修改程序只读内存
GoingJack博客
04-15 789
前言 Windows下在C语言编程我们常常关于字符串的操作一个很简单的代码如图所示。 参考 《加密于解密》第十一章内容 int main() { char* str = "helloworld"; str[2] = 'a'; printf("%s\n", str); getchar(); return 0; } 我们编译运行程序得到下面的错误: 这是因为str字符串所指向的数据是位于 PE文件的.rdata区块的数据。此区块的数据的默认属性为 这个这个程序编
RData.jl:从Julia读取R数据文件
02-04
RData.jl:从Julia读取R数据文件
BlueprintEncode-bpe.se-human.RData 单细胞singleR注释参考文件
最新发布
11-20
单细胞singleR注释参考文件,可在本地使用
素数matlab代码-edatparser:将edat/edat2txt恢复文件解析为Rdata.frames
06-02
这是一个读入数据文件的包(嗯,是E-Prime脚本在实验过程生成的txt恢复文件)。 它适用于需要分析大批量 edats、无法访问 PST 的数据实用程序 E-DataAid 或没有 Windows 的用户。 据我所知,PST 没有公开二进制 ....
git2rdata一个R包,用于存储和检索git存储库data.frames
02-05
git2rdata一个R包,用于存储和检索git存储库data.frames
PE文件格式分析系列(文章3)----一个PE文件rdata分析(Win32工程Release)(二)
cay22的专栏
06-23 3356
PE文件格式分析系列(文章3) 一个PE文件rdata分析(Win32工程Release)(二) 下面分析这个PE文件rdata常量数据(000050A4---0000543D) 000050A0 |                         00 00 00 00 |     .... | 000050A8 | FF FF FF FF 27 11 40 00 |
PE文件格式讲解
qq_43082315的博客
10-08 270
PE文件格式--各个节存储的数据类型
PE文件格式详细解析(二)
weixin_47754894的博客
11-02 1542
3.PE文件的结构 3.2 NT头 由一个IMAGE_NT_HEADERS结构组成,该结构包含了PE文件被载入内存时需要用到的重要域。通过DOS header的e_lfanew,可以直接定位到真正的PE Header部分。该结构体的大小为0xf8字节。 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //PE签名 IMAGE_FILE_HEADER FileHeader; //PEIMAGE_OPTIONA
PE 文件:.text .data .idata .rdata
LYSM
07-22 8294
通常,一个 PE 文件有 4 个区: .text:(代码),可读、可执行 .data:(数据),存放全局变量、全局常量等 .idata:(数据),导入函数的代码,存放外部函数地址。(当然还有 edata ,导出函数代码,但不常用) .rdata:(数据),资源数据,程序用到什么资源数据都在这里(包括自己打包的,还有开发工具打包的) ...
修改PE文件.rdata属性, 使常量区可写
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
11-13 3236
构造一点错误代码,向字符串存储的常量区(.rdata)写数据,使OS报0xC0000005错误. /// @file exam_test.cpp /// @brief 修改PE文件.rdata属性, 使常量区可写 #include #include #include void fnTest(); int main() { fnTest(); return 0; } vo
静态分析:IDA逆向代码说明 text、idata、rdatadata
weixin_30902251的博客
10-17 865
通常IDA对一个PE文件逆向出来的代码, 存在四个最基本的text、idata、rdatadata, 四个PE文件的结构对应的。 一、text: 该位程序代码,在该一开始就可以看到: .text:00401000 ; Segment type: Pure code.text:00401000 ; Segment permissions: Read/Execute ...
PE文件格式详解(下)
08-04 976
预定义   一个Windows NT的应用程序典型地拥有9个预定义,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些,同样还有一些应用程序为了自己特殊的需要而定义了更多的。这种做法与MS-DOS和Windows 3.1的代码和数据相似。事实上,应用程序定义一个独特的的方法是使用标
驱动解析pe文件之pdb
liwen930723的专栏
09-25 2581
驱动解析pe文件的pdb,一切尽在代码,本博客不负责科普,能立即用的代码你都有了,头文件、结构体、注释都整理好你还想要啥? CreateMapFileAndGetBaseAddr()的定义就看我下一篇文章。     #include <ntifs.h> #include <windef.h> #include "ntimage.h" #define NB10...
怎么用Verilog语言给压缩单元配置一个axi4-lite-slave接口
05-27
首先,需要在Verilog文件定义一个axi4-lite-slave接口的模块,例如: ``` module axi4_lite_slave ( input aclk, input aresetn, input [3:0] araddr, input [1:0] arprot, output [1:0] arready, output ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值