windows 可执行文件分析

最新推荐文章于 2024-01-18 13:45:15 发布
VIP文章 最新推荐文章于 2024-01-18 13:45:15 发布
阅读量1.9k 收藏 1
点赞数 1
分类专栏: windows 文章标签: exe hook HOOK Hook windows Windows WINDOWS WIndows 可执行文件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he702477275/article/details/8467643
版权

windows可执行文件是什么?

是具有PE文件格特性的文件,例如:.exe、dll、ocx等文件。
注:(这里只是让大家能明了一些,其实,可执行与否,和后缀没有什么关系,后缀只是windows方便管理用的)。
如:在xp sp3上,你双击或右键打开一个可执行文件时。并不是那个可执行文件自动执行的。它并不存在自动运行能力。而仅仅是,调用了CreateProcessW函数来启动这个可执行文件。如下,是桌面上,双击或右键打开一个记事本软件,堆栈情况,如下

CPU Stack
Address   Value      ASCII Comments
0007DFE8   ; RETURN from kernel32.CreateProcessW to SHELL32.7D5DA1F8
0007DFEC  ; ApplicationName = "C:\Documents and Settings\heyueyi\桌面\notepad.exe"
0007DFF0   ; CommandLine = ""C:\Documents and Settings\heyueyi\桌面\notepad.exe" "
0007DFF4   ; pProcessSecurity = NULL
0007DFF8   ; pThreadSecurity = NULL
0007DFFC    ; InheritHandles = FALSE
0007E000   0; CreationFlags = CREATE_NEW_CONSOLE|CREATE_UNICODE_ENVIRONMENT|CREATE_DEFAULT_ERROR_MODE
0007E004
最低0.47元/天 解锁文章
he702477275
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CreateProcess 内部实现
点点灵犀
02-19 2804
*ReactOS学习笔记* CreateProcess 内部实现 调用CreateProcessW    调用CreateProcessInternalW       参数检查       获取进程文件路径       调用BasepMapFile映射文件(内部调用NtCreateSection)       判断是否是一个DLL文件       判断子系统类型(只能是
EXE文件分析器(可以给EXE资源编辑)
01-28
可以给EXE资源编辑 可以编辑外挂补丁等其他的资源 功能很强大的哦
PE可执行文件格式概述
06-01
该文档描述windows系统下可执行文件格式标准,是做静态分析安全人员必须掌握的内容。
基于Unicorn-Engine的开源Windows可执行文件沙盒实现解析.pdf
08-08
目 录 1.虚拟化软件的比较以及各自的特点. 2.unicorn-engine介绍. 3.Hack unicorn-engine. 4.wxemu的设计不实现. 5.wxemu 的功能 6.Demo. 7.目前存在缺点不计划.
警惕可执行文件:三类危险TXT类型文件
weixin_34000916的博客
10-08 1672
假如您收到的邮件附件中有一个看起来是这样的文件:QQ 放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是...
【gcc编译优化系列】各操作系统平台下的可执行文件格式介绍
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
12-03 8870
目 录 一 重要知识点 二 本文重点内容 三 gcc相关知识补充 四 Windows 系列(Win7、Win8.1、Win10…) 五 Linux 系列(Ubuntu、RedHat、Kali Linux…) 六 Mac 系列(MacOS & iOS) 七 更多分享 一 重要知识点 - 可执行文件指的是可以由操作系统进行加载执行的文件; - 可执行文件的文件格式常见有: exe 和 dll(Windows 系列)、elf(Linux 系列)和 Mach-O(Mac系列);..
python可执行文件的扩展名_可执行文件的扩展名是什么
weixin_33067503的博客
01-29 8132
可执行文件的扩展名可以是exe、dll、COM、BAT;可执行文件指的是可以由操作系统进行加载执行的文件;如记事本程序notepad.exe ,这类程序通常用来处理或者辅助处理其它文件。可执行文件的扩展名可以是exe、dll、COM、BAT;可执行文件指的是可以由操作系统进行加载执行的文件;如记事本程序notepad.exe ,这类程序通常用来处理或者辅助处理其它文件。本文操作环境:windows...
EXE文件解析代码
11-20
一个EXE文件解析程序的源代码,VS2013可直接编译通过
解析exe文件
最新发布
m0_63251896的博客
01-18 1615
解析exe文件
关于exe文件
qq_66592922的博客
02-21 5731
一、EXE文件结构 EXE文件分为两个部分: EXE文件头和程序本体。exe文件比较复杂,属于一种多段的结构,是DOS最成功和复杂的设计之一。每个exe文件包含一个文件头和一个可重定位程序的映像。文件头包含MS-DOS用于加载程序的信息,例如程序的大小和寄存器的初始值。文件头还指向一个重定位表,该表包含指向程序映像中可重定位段地址的指针链表。MS-DOS通过把该映像直接从文件复制到内存加载exe程序,然后调整定位表中说明的可重定位段地址。定位表是一个重定位指针数组,每个指向程序映像中的可重定位段地址。
windows软件UI分析执行文件检查工具
04-21
安装之后,你可以在资源管理器中,相关...5.个别检查执行文件中每个模组(module)是否能不被执行就可载入。InspectExe加强版(enhanced version),能够让你看到关于对话方块、bitmap、图示、鼠标指标等等的详细信息。
MTuner可执行文件
08-05
MTuner:MTuner是C/C ++内存分析器和内存泄漏查找器,适用于Windows,PlayStation 4和3,Android和其他平台
Manalyze:用于PE可执行文件的静态分析
02-24
但是在我看来,专家用户(例如,恶意软件分析师)可以使用一种工具来分析PE可执行文件,并提供尽可能多的数据,并由他们最终决定。 如果您想查看该工具生成的一些示例报告,请随时尝试为它创建的Web服务: 。 目录...
接扫理解.exe文件的结构原理即运行过程
s_sos0的博客
10-07 991
接扫理解.exe文件的结构原理即运行过程
可执行文件结构:PE文件结构讲解
qq_46145027的博客
05-02 2344
我们使用电脑时肯定会接触各种各样的应用程序,有应用程序就会有对应的可执行文件,比如最常见的.exe文件。事实上,Windows平台下,所有的可执行文件(包括EXE、DLL、SYS、OCX、COM......)使用的都是同一种文件结构,也就是PE(Portable Executable)文件结构。所以说所有可执行文件究其本质都可以叫它PE文件。这里要注意一点:事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。 下面就来结合事例详细介绍一下PE文件到底是个什么东西。
关于“文件名改为.bat后缀后,依旧是txt格式”的问题
qq_52242662的博客
02-23 5572
问题: 在桌面新建一个笔记本文档,命名为demo1.bat,会发现依旧是txt文档格式。如下图所示: 解决: 1、此时我们打开文件资源管理器,依次点击 查看 > 文件扩展名 2、会发现之前创建的demo1.txt完整的文件名是demo1.bat.txt 3、此时我们再修改一次文件后缀,成为demo1.bat,会发现文件格式变成了Windows批处理文件 问题解决。 PS:核心问题在于是否勾选了 查看 里的 文件扩展名 选项 ...
python exe文件解包方法
波波日常工作学习的笔记本
02-16 6906
在将Python文件打包成exe文件的过程中,会抹去pyc文件前面的部分信息,所以我们在反编译之前需要检查并添加上这部分信息。对于上述这些加密,在工作中,常见将一些Python写的脚本、程序使用Pyinstaller打包为exe文件的居多,因为即使对方没有python环境,也可以运行程序,具有较好的兼容性。遇到这种情况后,在前面步骤1中,找到PYZ-00.pyz_extracted文件夹中任意一个pyc文件,记住前面的4个字节,在目标文件第一行输入前4个字节,后续补0。可以先尝试用方法1,失败后用方法2。
linux的可执行文件
05-31
当内核加载可执行文件时,它会按照ELF格式解析文件,将代码段和数据段加载到内存中,执行代码段中的程序。 除了ELF格式外,Linux还支持其他可执行文件格式。COFF(Common Object File Format)是一种可移植的可执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值