PE文件之加载基址

最新推荐文章于 2024-07-12 16:26:30 发布
最新推荐文章于 2024-07-12 16:26:30 发布
阅读量755 收藏 2
点赞数 1
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/120808876
版权

目录

预备知识

OD

Ollydbg通常称作OD,是一个32位汇编级Microsoft的Windows的分析调试器,汇编代码的动态分析工具,特别是在源代码不可用的情况下非常有用。

Winhex

Winhex是一款16进制编辑器。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。

关于PE文件的一些基础知识

PE全称为portable executable,是微软Windwos NT,Windows95和Win32子集中的可执行的二进制文件的格式;在Windows NT中,驱动程序也是这种格式。它还能被应用于各种目标文件和库文件中。Win32 SDK中包含一个名叫<winnt.h>的头文件,其中含有很多用于PE格式的#define和typedef定义。

PE头总览

PE头分为5个部分,如下表:
在这里插入图片描述
在一个PE文件的开始处,我们会看到一个MS-DOS可执行体(英语叫“stub”,意为“根,存根”);它使任何PE文件都是一个有效的MS-DOS可执行文件。
在DOS-根之后是一个32位的签名以及魔数0x00004550(IMAGE_NT_SIGNATURE)(意为“NT签名”,也就是PE签名;十六进制数45和50分别代表ASCII码字母E和P——译者注)。
之后是文件头(按COFF格式),用来说明该二进制文件将运行在何种机器之上、分几个区段、链接的时间、是可执行文件还是DLL、等等。(本文中可执行文件和DLL文件的区别在于:DLL文件不能被启动,但能被别的二进制文件使用,而一个二进制文件则不能链接到另一个可执行文件。)
那些之后,是可选头(尽管它一直都存在,却仍被称作“可选”——因为COFF文件格式仅为库文件使用一个“可选头”,却不为目标文件使用一个“可选头”,这就是为什么它被称为“可选”的原因)。它会告诉我们该二进制文件怎样被载入的更多信息:开始的地址呀、保留的堆栈数呀、数据段的大小呀、等等。
可选头的一个有趣的部分是尾部的“数据目录”数组;这些目录包含许多指向各“节”数据的指针。例如:如果一个二进制文件拥有一个输出目录,那么你就会在数组成员“IMAGE_DIRECTORY_ENTRY_EXPORT”(输出目录项)中找到一个指向那个目录的指针,而该指针指向文件中的某节。
跟在各种头后面我们就发现各个“节”了,它们都由“节头”引导。本质上讲,各节中的内容才是你执行一个程序真正需要的东西,所有头和目录这些东西只是为了帮助你找到它们。
每节都含有和对齐、包含什么样的数据(如“已初始化数据”等等)、是否能共享等有关的一些标记,还有就是数据本身。大多数(并非所有)节都含有一个或多个可通过可选头的“数据目录”数组中的项来参见的目录,如输出函数目录和基址重定位目录等。无目录形式的内容有:例如“可执行代码”或“已初始化数据”等。

DOS-根和签名(DOS-stub and Signature)

所有的PE文件都是以一个64字节的DOS头开始。这个DOS头只是为了兼容早期的DOS操作系统。这里不做详细讲解。只需要了解一下其中几个有用的数据。
在这里插入图片描述
e_magic

最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件PE加载的过程
weixin_43742894的博客
03-31 2069
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存中 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
亲手教你改PE文件加载基址的新玩法
蚁景网安学院
11-29 1060
走过路过,不要错过这个公众号哦!1.文章简介:通过本文,读者可以了解PE文件PE头组成结构,以及动手修改镜像基地和大小,来理解对整个PE文件的影响,本文通过对系统自带工具calc,...
PE文件内存
软件调试的变革
12-14 3064
1.      VC中可以通过#pragmadata_seg()可以将代码中的任意部分编译到PE的任意节中,节名也可以自己定义。如果文件经过了加壳处理,那么PE的节的信息就会变的非常“古怪”。 2.      PE文件与VA(virtualAddress)之间的转换。 文件偏移地(file offset)文件相对于文件开头的偏移 装载基址(image base)PE装入内存时的基地
PE文件与虚拟内存间的映射
emerald0106的专栏
02-14 1199
PE文件与虚拟内存间的映射 2010-06-02 20:00 (1)静态反汇编工具看到的PE文件中某条指令的位置是相当于磁盘文件而言的,即所谓的文件偏移,我们可能还需要知道这条指令在内存中所处的位置,即虚拟内存(VA)。 (2)反之,在调试时看到的某条指令的地是虚拟内存,我们也经常需要回到PE文件中找到这条指令对应的机器码。 为此,我们需要弄清楚PE文件
病毒程序的重定位+动态获取API+获取kernel32.dll基地+钩子+驻留内存
chopstics的专栏
07-07 3673
1. 病毒程序:1)宿主:被病毒感染的程序。例如:exe dll office文档   2)重定位:在病毒体中使用绝对位置规定的变量或入口地,病毒体被插入到宿主程序时,这些规定的绝对位置可以已经被宿主程序使用,从而病毒体无法使用。为保证病毒体在宿主中正常执行,需要在病毒代码中使用重定位的技术。 3)重定位的实现: 病毒代码重定位: call @@1 @@1:pop edx ……….
PE文件加载流程
dohxxx的博客
03-20 4459
PE加载器流程 1.将PE文件用ReadFile读取数据 char szFileName[] = "1.exe"; //打开文件,设置属性可读可写 HANDLE hFile = CreateFileA(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, ...
PE文件解析器的原理(C语言代码)
01-16
OptionalHeader包含了可选的元数据,如子系统类型、入口点地加载基址、导出和导入表等。 编写PE文件解析器时,我们需要读取并解析这些头部信息。在C语言中,可以使用`fopen`、`fread`等函数来打开和读取文件。...
windows PE文件结构
05-11
3. **Optional Header**: 虽然称为“可选”,但实际上每个PE文件都有一个可选头,它提供了更多关于如何加载和运行二进制文件的信息,如入口点地、堆栈大小、数据段尺寸等。可选头的尾部包含“数据目录”数组,指向...
PE文件解析指南
12-08
- 基址(Base Address):PE文件可以请求操作系统在特定的内存加载自身,这个地称为基址。 5. **调试信息** - 可能包含PDB(Program Database)信息,用于调试工具跟踪代码执行和变量状态。 6. **安全特性...
zd.rar_基址_找基址
09-23
1. **PE文件结构**:了解Portable Executable (PE)文件格式是找基址的基础。PE文件包含了运行时所需的所有信息,如导入表、导出表、节区等,这些信息都与内存中的位置有关。 2. **内存映射**:在程序加载时,操作...
PE文件格式”1.9版 完整译文(附注释)
04-12
"PE文件格式”1.9版 完整译文(附注释)是对微软Windows操作系统中可执行文件格式的详细解读。PE(Portable Executable)文件格式是Windows NT、Windows 95及Win32子集下的二进制可执行文件的标准格式。此格式不仅...
文件 偏移 基址_PE文件涉及的地概念
weixin_36352719的博客
01-12 797
本文参考了 @旋风火鸡 的文章,链接如下:旋风火鸡:PE可执行文件格式详解​zhuanlan.zhihu.com虚拟地(Virtual Address, VA),PE文件加载开始运行后,进程的可执行代码、数据所在的地空间称为虚拟地空间,代码和数据在该空间内的地称为虚拟地。相对虚拟地(Reverse Virtual Address, RVA),相对虚拟地是虚拟地相对于映射基址的偏移...
如何更改应用程序加载基地
swanabin的专栏
01-09 1405
应用程序的基地默认都是:0x00400000 如果想更改这个基地,可以更改链接选项,如下:
基址重定位
qq_45444695的博客
02-06 1359
基址重定位概念 当向程序的虚拟内存加载PE文件时,文件会被加载到ImageBase所指向的地。 对EXE文件来说,EXE文件会首先加载内存,每个文件总是使用独立的虚拟地空间,这就意味着EXE文件不用考虑基址重定位问题; 对于DLL文件来说,多个DLL文件使用调用其本身的EXE文件的地空间,不能保证ImageBase所指向的地没有被其他DLL文件占用,所以DLL文件当中必须包含重定位信息,...
PE文件格式
weixin_49777720的博客
03-16 439
文章目录PE的基本概念MS-DOS头部PE文件头区块输入表输出表基地重定位资源 PE的基本概念 PE文件将可执行程序分为不同的块,区块中包含代码和数据,各个区块按页边界对齐。区块没有大小限制,是一个连续的结构。每个块都有他自己在内存中的一套属性,例如这个块是否包含代码,是否只读或可读/写等。 基地(ImageBase) PE文件通过Windows加载加载内存。 模块(Module):内存中的版本。 模块句柄(hModule):映射文件的起始地(这个地也可以称为是基地ImageBase),可以
深入剖析PE文件
lwglucky的专栏
03-15 5674
PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据。NT上的PE
PE导出表--查找入口地
跃然实验室
06-10 1181
从序号查找入口地 (1)定位到PE文件头。 (2)从PE文件头中的IMAGE_OPTIONAL_HEADER32结构中取出数据目录表,并从第一个数据目录中得到导出表的地。 (3)从导出表的nBase字段得到起始序号。 (4)将需要查找的导出序号减去起始序号,就得到了函数在入口地表中的索引。 (5)检测索引值是否大于导出表的NumberOfFunctions字段的值,如果大于后...
java集合工具类
最新发布
药的博客
07-12 489
【代码】java集合工具类。
获取模块.dll文件 基址+偏移的
07-14
获取模块.dll文件基址和偏移量通常用于进行动态链接库注入或者修改内存数据等操作。以下是一种常见的方法: 1. 获取目标进程的句柄。 可以使用函数OpenProcess来打开目标进程,获取其句柄。传入参数为目标进程的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值