PE学习
cosmoslife
多媒体编程、网络编程、系统编程、网络安全编程
展开
-
一篇绝对详细的手工构造PE文件教程
一直以来都在学习PE文件结构,从不敢轻视,但是即使如此还是发现自己在这方面有所不足,于是便想到了用纯手工方式打造一个完整的可执行的PE文件。在这期间我也查了大量资料,但是这些资料都有一个通病就是不完整,看雪得那个只翻译了一部分,加解密技术内幕介绍的更是笼统,而且是打造一个只有180字节的PE文件,是高手们茶余饭后的怡情小游戏。 鉴于此,心想为什么不自己摸索着手工打造一个完整些的转载 2013-12-10 23:04:07 · 2307 阅读 · 0 评论 -
分析pe文件资源(学习)
PE文件,全称Portable Executable文件,是Windows系统可执行文件采用的普遍格式,像我们平时接触的EXE、DLL、OCX,甚至SYS文件都属于PE文件的范畴。为了在可执行文件中方便的引用其它类型资源内容,PE文件有一个独立的资源段,将程序执行所需要的全部资源文件链接到PE文件内部方便使用。今天我们就来研究一下PE文件资源段的内容与格式。在研究PE文件资源转载 2014-07-02 15:02:17 · 1156 阅读 · 0 评论 -
反向进程注入及隐藏--动手做一个最简单的PELoader
创建时间:2007-07-27 更新时间:2007-07-28文章属性:原创文章提交:Luke0314 (msfocus_at_hotmail.com)动手做一个最简单的PELoaderLuke msfocus@hotmail.com一.废话最近因为公司的项目需要,顺带的学习了一点和PELoader相关的东西,恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才,实在是转载 2014-04-02 22:12:00 · 1679 阅读 · 0 评论 -
一段仿真PE加载器行为的程序
标 题: 【原创】一段仿真PE加载器行为的程序作 者: linxer时 间: 2006-06-10,00:50:49链 接: http://bbs.pediy.com/showthread.php?t=27134 【 标题 】 一段仿真PE加载器行为的程序【 声明 】 水平有限,不对之处敬请各位大侠赐教!以下程序假定PE文件是合法的,所以很多地方都没转载 2014-04-02 22:19:17 · 1472 阅读 · 0 评论 -
直接运行内存中的程序
Windows的PE加载器在启动程序的时候,会将磁盘上的文件加载到内存,然后做很多操作,如函数导入表重定位,变量预处理之类的。这位仁兄等于是自己写了一个PE加载器。直接将内存中的程序启动。记得以前的“红色代码”病毒也有相同的特性。 直接启动内存中的程序相当于加了一个壳,可以把程序加密保存,运行时解密到内存,然后启动,不过对于增加破解难度还要稍微复杂点。否则人家把内存中的进程DUMP出来然转载 2013-12-19 23:24:17 · 901 阅读 · 0 评论 -
仿真WINDOWS PE加载器的程序
此程序用来仿真PE加载器,可以直接运行内存中的程序。 bool PELoader(char *lpStaticPEBuff, long lStaticPELen){ long lPESignOffset = *(long *)(lpStaticPEBuff + 0x3c); IMAGE_NT_HEADERS *pINH = (IMAGE_NT_HEADERS *)(lpSt转载 2013-12-19 23:25:32 · 1699 阅读 · 0 评论 -
pedump.c
// $Id: pedump.c 17587 2005-08-28 15:29:36Z hpoussin $//// This program was written by Sang Cho, assistant professor at// the department of//转载 2013-12-19 23:20:35 · 1376 阅读 · 0 评论 -
windows PE Image 文件分析(6)--- .reloc 节与 base relocation table
.reloc 节和 base relocation table 仅存在于 Image 文件中,用于当映像被加载运行的 ImageBase 改变后,对映像内的使用的地址进行重定位。需要进行 ImageBase 重定位的映像性能会变得很糟糕。32 位的应用程序在 64 位系统上运行就是一个典型的例子。下面以前面的 32 位 helloworld.exe 映像为例子 1. ImageBa转载 2013-12-11 21:54:31 · 3163 阅读 · 0 评论 -
windows PE Image 文件分析(5)--- .rsrc 节与 resource table
windows PE Image 文件分析(5)--- .rsrc 节与 resource tablePE 文件所有使用的 resource table 非常复杂,一个典型的 windows GUI 应用程序普遍都使用到了 7 个左右的资源。 1. windows 中的资源在 WinUser.h 文件里定义了 windows 中所使用的全部资源:/* *转载 2013-12-11 21:54:05 · 1620 阅读 · 0 评论 -
windows PE Image 文件分析(3)--- .idata 节与 import table
现在我们来探讨一下 .idata 节与 import table下面是 helloworld.exe 映像中使用了 import table :域import tableVirtualAddress0x00018000size0x50下面是 helloworld.exe 映像中的转载 2013-12-11 21:53:08 · 2444 阅读 · 0 评论 -
windows PE Image 文件分析(2)--- .text 节
在上一篇文章:http://www.mouseos.com/windows/PE_image1.html 介绍 helloworld.exe 映像的 section 表内容,section 表指出每个映像中每个 section 的信息,包括:section 的 RVA,Size,Raw 数据位置和大小等。接下来深入了解 .text 节内容域.textbss 节转载 2013-12-11 21:52:38 · 4136 阅读 · 0 评论 -
windows PE Image 文件分析(4)--- 导入函数的绑定
上一篇文章探讨了 helloworld.exe 映像的 import table 和 .idata 节的情况,现在接着看一看 windows 是如何使用导入的函数。我重申一下我的环境:helloworld.exe 是以 Win32 debug 选项编译的,但是我的电脑是 64 位的 Win7 系统,所以 32 位的 helloworld.exe 运行在 64 位的 windows 下。转载 2013-12-11 21:53:40 · 859 阅读 · 0 评论 -
windows PE Image 文件分析(1)
原文链接:http://www.mouseos.com/windows/PE_image1.html上面是 windows PE 可执行文件格式的结构图,分为 4 个部分:DOS 文件头、NT 文件头、Section 表以及 Directory 表格。windows 的 executable image 文件使用的是这种 PE 格式,而 object 文件使用的是 CO转载 2013-12-11 21:51:58 · 1049 阅读 · 0 评论 -
【原创】再写手工打造可执行程序
标 题: 【原创】再写手工打造可执行程序作 者: dncwbc时 间: 2010-10-13,17:31:53链 接: http://bbs.pediy.com/showthread.php?t=122191三年前,我曾经写了一个手工打造可执行程序的文章,可是因为时间关系,我的那篇文章还是有很多模糊的地方,我一直惦记着什么时候再写一篇完美的,没想到一等就等了三年。因为各种原因直转载 2013-12-11 15:42:44 · 722 阅读 · 0 评论 -
把PE映像文件从内存中DUMP到磁盘
引言: 引用看雪学院《软件加密技术内幕》开篇的第一段话:“操作系统的可执行文件格式和数据结构揭示了藏在操作系统内部的秘密,理解EXE或DLL将有助于对操作系统的深刻理解。了解了EXE和DLL里面的奥秘,你将成为一名知识更加渊博的程序员!”可以看到,作为网络安全爱好者的我们,掌握和熟练利用PE(Portable Executable)文件格式的知识将必定能为我们学习黑客技术和攻防知识打下良好的基转载 2013-12-10 23:07:28 · 1473 阅读 · 0 评论 -
ico文件结构
因为编写一个图标编辑程序,分析了一下图标的文件格式,颇有一些心得,写出 来与各位兄弟共享。(笔者注:以下所说的图标均为调色板模式的图标,真彩图标会特别注 明) 一、从图标的显示原理说起 每个图标都是由两个单独的位图组成的。如果该图标是屏蔽背景色的话,那么,第一个 位图是由黑色背景(相关的颜色位全为 0)与彩色图标图案组成的,该位图将与当前屏幕显 示通过异或操作(XOR)转载 2014-07-03 15:19:18 · 844 阅读 · 1 评论