《黑客免杀攻防学习笔记》——PE文件结构1

最新推荐文章于 2023-12-25 08:53:09 发布
最新推荐文章于 2023-12-25 08:53:09 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 免杀 文章标签: 病毒 黑客 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyangbotianshi/article/details/17379895
版权
本文详细介绍了PE文件结构,包括MS-DOS头、PE文件头、IMAGE_FILE_HEADER结构、IMAGE_OPTIONAL_HEADER32以及数据目录表。探讨了如Signature字段、文件属性、代码和数据段的大小、入口点地址、载入基址等关键概念,旨在帮助读者深入理解PE文件的组织方式。
摘要由CSDN通过智能技术生成

文章中的图片大部分为自己做截屏,少量摘自网络,若有侵权请及时告知,我会尽快删除。转载请注明出处。

1.MS-DOS头

         DOS头主要就是为了兼容之前的DOS操作系统,DOS头后面便是DOS Stub,这两部分构成了MS-DOS可执行文件的基本要素,如果PE文件运行在DOS系统中便会执行Stub中的代码,一般上都是“Thisprogram cannot run in DOS mode ”。所以DOS没有什么可以讲的,主要就是开头两个字节MZ表明他是一个PE文件的DOS头开始。还有就是距离MZ偏移量为0x3C的内容便是PE头的位置。

2.PE文件头

         下面便是PE文件头的数据结构(来自WinNT.h头文件)

typedef struct _IMAGE_NT_HEADERS {

   DWORD Signature;                    //PE标识

   IMAGE_FILE_HEADER FileHeader; //文件头

   IMAGE_OPTIONAL_HEADER32 OptionalHeader;   //可选头(扩展头)

} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

2.1 Signature字段

         可以看到Signature字段是固定的0x50450000用来标识从这里开始便是PE头。

#define IMAGE_NT_SIGNATURE    0x50450000 // PE00

2.2 IMAGE_FILE_HEADER结构

         下面可以针对这个结构结合实际的十六进制数据来熟悉:

typedef struct _IMAGE_FILE_HEADER {

   WORD    Machine;                          //运行平台0x14C表示Intel 386,64位则是0x200

   WORD    NumberOfSections;       //区段的数量0x0002,表示这个文件有2个段

   DWORD   TimeDateStamp; //文件创建时间,3D91AA47是从GMT的1970.1.1以来秒数

   DWORD   PointerToSymbolTable;//指向COOF符号表偏移,为0则不存在该符号表

   DWORD   NumberOfSymbols;//符号数,如果前一个为0这个也为0

   WORD    SizeOfOptionalHeader;//这个结构的下一个结构即可选头的大小0xE0

   WORD    Characteristics;             //表示PE文件的属性,普通文件0x10F,dll文件为0x210

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

最低0.47元/天 解锁文章
Traxer
关注
专栏目录
免杀基础三步走之二(PE文件结构).mht
02-23
PE文件总的来说是由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成。其实,如果在纯Windows环境下运行,DOS文件头、DOS加载模块根本是用不上的,加上两个DOS相关的结构完全是为了兼容性问题。 为了方便观察与理解,我们可以通过观察图1大体了解PE文件结构
【网络安全】简单的免杀方法(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
04-14 2444
目录一、免杀的概念二、免杀系统搭建三、免杀工具介绍1、myccl2、C32asm3、OD4、LordPE5、ImportREC6、VC++6.0/visual studio7、数字签名四、关于杀软排名不分前后1、360。2、金山毒霸3、江民4、瑞星5、安天防线6、卡巴斯基7、NOD328、诺顿9、小红伞,木伞10、BD五、杀软的查杀方法1、最基础的查杀2.1、静态启发式2.2、动态启发式3、HIPS4、云安全六、免杀方面的术语1、API2、花指令3、输入表4、区段5、加壳6、反启发7、隐藏输入表什么是免杀
黑客免杀攻防】读书笔记2 - 免杀与特征码、其他免杀技术、PE进阶介绍
weixin_30378311的博客
07-14 396
第3章 免杀与特征码 这一章主要讲了一些操作过程。介绍了MyCCL脚本木马免杀的操作,对于定位特征码在FreeBuf也曾发表过类似工具。 VirTest5.0特征码定位器 http://www.freebuf.com/sectool/40580.html 细读一遍这一章的知识才知道自己当时使用MyCCL免杀失败的原因。因为某些反病毒软件的扫描器采用的是密码校验和技术,密码校验和指的是将一...
渗透技巧 | 有手就行的白加黑实战免杀
2201_75362610的博客
06-27 2008
最近一直在打攻防,很多时候都需要用到免杀,那么怎么能快速做免杀和权限维持就是一个问题,于是就想起来利用白加黑快速做免杀或权限维持,俗称有手就行,废话不多说直接开干!
免杀前置课——PE文件结构】十七、PE文件解析—一文解明PE文件结构头部分,什么是PE文件PE文件里都有什么?DOS头、DOSstub、PE头、文件头、可选PE头、区段头及结构体详解
m0_62783065的博客
12-10 694
免杀前置课——PE文件结构】十七、PE文件解析—一文解明PE文件结构头部分,什么是PE文件PE文件里都有什么?DOS头、DOSstub、PE头、文件头、可选PE头、区段头及结构体详解
网安免杀技术、加壳、加密、免杀方法(入门资料)
白帽黑客鹏哥的博客
12-07 1613
每种类型的恶意软件都采用不同的反检测技术,包括病毒、木马、僵尸程序、流氓软件、勒索软件、广告程序等。本文将重点介绍在stager阶段使用的meterpreter这种有效载荷的工具,因为几乎所有恶意软件的攻击命令执行都依赖于meterpreter。例如提权、凭证窃取、进程迁移、注册表操作等。Metasploit Framework作为一个漏洞利用和测试平台,集成了多种平台上的溢出漏洞和流行的shellcode,并持续更新,使得缓冲区溢出测试变得方便简单。
2024最新最全【免杀技术】零基础入门到精通
资深程序员,曾自学JAVA,C#,如今从业于网安行业
12-25 1510
如果你也想学习:黑客&网络安全的SQL攻防攻击机kali:192.168.1.11 靶机Windows7:192.168.1.18。
[系统安全]《黑客免杀攻防》MFC逆向基础实战
H4ppyD0g的博客
12-25 1999
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
免杀入门学习---------2019.8.27
ins_Digger的博客
08-27 888
写一个啃书记录,写一下知识点和自己的理解。 peace! (主要是图书馆借的书不能圈圈画画,我也不想动笔,写一下博客挺好的。) 这篇随笔的大部分内容来自《黑客免杀攻防》 第一章说的免杀的历史,点了一下免杀和Rootkit的区别。 Rootkit的词条介绍 当然,一个菜鸟怎么会理解呢,只能默默地记一下,接受了。 第二章 免杀基础知识 罗列一下个人觉得比较重要的点: 1.基于文件扫描的反病毒技术 ...
黑客免杀攻防】读书笔记18-最终章Anti Rootkit
weixin_30363817的博客
08-13 145
1、免杀技巧的遏制 1.1、PE文件 入口点不在第一个区段或在最后一个区段 入口点处代码附近只有一小段代码 入口点在正常范围之外 入口点为一个无效的值,实际入口点为TLS的入口点 区段名重复或者不属于正常范围 拥有可执行属性的区段数量过多 1.2、程序行为 加载系统DLL 枚举反病毒软件进程的窗口 将自己复制到系统目录 安装SPI(控制网络通信或者另类的方法远程注入DLL文件) 远...
免杀技术有一套(免杀方法大集结)
hackzkaq的博客
05-23 7281
零基础学黑客,搜索公众号:白帽子左一 00. 概述 什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就知道了。 01. 简介 免杀大概可以分为两种情况: 二进制的免杀(无源
修改PE免杀所有软件
09-28
修改PE免杀修改PE免杀修改PE免杀
PE头傻瓜免杀教程 PE头傻瓜免杀教程
12-14
PE头傻瓜免杀教程PE头傻瓜免杀教程PE头傻瓜免杀教程PE头傻瓜免杀教程PE头傻瓜免杀教程PE头傻瓜免杀教程PE头傻瓜免杀教程PE头傻瓜免杀教程PE头傻瓜免杀教程
[系统安全]《黑客免杀攻防》逆向基础之经典脱壳基础
H4ppyD0g的博客
01-02 3173
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。 前文链接 [系统安全] PE文件格式详解1 [系统安全] PE文件格式详解2 [系统安全] Windbg Preview调试记录 [系统安全]《黑客免杀
黑客免杀攻防学习笔记》——小结
Traxer的学习之路
12-24 1457
黑客免杀攻防》看得差不多了,关于诸如花指令等其他免杀技术以及Rootkit的内容没有看。Rootkit另外买了一本书,想着两部分结合在一起看效果可能会好一些。这里就针对自己看过的一些内容做一下总结。          总的来说这本书需要C++、汇编、数据结构、内核等多方面的知识才能理解透彻,而内核方面自己没有接触过,也就暂时一放。书的前面几张分别介绍了包括防病毒软件、免杀基础知识和技术等,没有
pe免杀
学习总结
07-23 779
<br />跳转 加花指令 <br /><br /><br />你可以修改头,然后跳到下一个花指令执行点 然后继续跳 再加花指令 然后再回头执行...这是我以前使用的方法 现在不知道是否可行
黑客免杀攻防》 软件逆向工程1-3
KD的疯狂实验室
11-16 945
1程序从哪里开始运行?寻找main
黑客免杀攻防》读书笔记----修改壳(打补丁)
还木人的博客
10-12 358
像一般的杀毒软件、查壳软件(PEID)的工作原理就是,通过查看软件中包含的病毒的特征码、壳的特征码。比较来判断的。 一种简单的思路,就是手动(或者工具)找到这些特征码,再在不改变程序的执行效果的情况下,想办法破坏特征码,来达到免查、免杀的目的。 记录一次制作北斗壳的补丁。 cosh加壳后: 9C60E8000000005D83ED078D8D6EFEFFFF8039010F8442020000...
黑客免杀攻防技术详解
此外,作者还解释了PE文件结构,这是理解免杀技术的重要基础。免杀原理部分则详细讲解了文件免杀、内存免杀和行为免杀的原理,并探讨了工具脱壳的技巧,包括壳的分类、免杀与脱壳的关系以及不同类型的脱壳方法。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值