PE头手动解析-40

于 2020-10-19 16:47:37 发布
阅读量163 收藏 1
点赞数
分类专栏: 语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DXH9701/article/details/109161612
版权

文章目录

对比

在这里插入图片描述
左边的是文件中.exe中的数据.右边的是 内存中的数据.
俩者数据一样. 但是最旁边的编号不一样.

在这里插入图片描述

在文件中有一段空白区域,断开了. 之后才继续有数据.
文件保存在硬板上

而在内存中,空白区域较多.
加载之后保存在内存中

开头

一些文件都是 4D 5A 开头的.

在这里插入图片描述

分节

PE分成一段一段的.

  1. 节省硬盘空间: 在内存中程序之间分隔较大. 在硬盘中存储分隔较小
  2. 硬盘对齐,内存对齐

对齐

硬盘对齐和内存对齐.
在这里插入图片描述
硬盘和内存中存储,程序段之间的分隔大小一致. 是对了硬盘对齐,加快读写速度

硬盘对齐是 200h,内存对齐是1000h

多开应用

PE头可以实现多开.
例如:
多开QQ. 数据分布如下
一个QQ的情况在这里插入图片描述
俩个QQ的情况:
在这里插入图片描述
因为 只读数据是不能修改的. 在多开的情况下, 只需要复制 一份 可读可写的数据部分即可.
节省了空间

映射

pe与内存的映射关系
在这里插入图片描述
PE磁盘文件的 .data块 与 内存中的 .data 对应. 内存中的.data块额外添加了 1000h做分隔.
PE文件的 块表和 内存中的块表相对应

PE文件头 -> 内存PE文件头
DOS头-> 内存DOS头

块表

块表 记录了 各个块的起始和结束位置

其他

PE文件头和DOS头是 概要性的描述.
描述了 exe 运行在内存之后到底有多大,

练习

查找 PE头,DOS头,可选PE头
打开exe 数据. 对着 DOS头文件记录的内容一个个的查找.按宽度查找

DOS头

16位系统下使用
在这里插入图片描述
需要记住 e_magic 和 e_ifanew这俩个标记
e_ifanew 指向了真正的PE文件开始的地方

标准PE头

标准PE头和可选PE头在 NT_HEADERS 中.

在这里插入图片描述

开始的地方

从DOS头最后的 e_ifanew 开始. 最后一个字节是e8. 代表着从文件开始的地方算,数e8个字节,就是PE开始的地方

在这里插入图片描述

垃圾部分

从 e8 到 50有一部分是有数据的.这一部分是垃圾数据.可以随意更改填写覆盖
在这里插入图片描述

查询

对照着 NT_HEADERS ,找到PE头
在这里插入图片描述

DWORD Signature
_IMAGE_FILE_HEADER FIleHeader;
_IMAGE_OPTIONAL_HEADER OptionalHeader;

上图中的 50 45 00 00 和 NT 头总的 Signature 对应

标准PE头

在这里插入图片描述
在这里插入图片描述
具体的PE头详细字段查找和可选PE头详细字段查找的话. 请自行完成

路上^_^
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php利用yield写一个简单中间件
取个好名字真难的博客
08-14 2万+
利用PHP的yield写一个中间件
计算机之xxx讲解汇编指令
DXH9701的博客
08-06 3192
网址 学习网址. 可以看到 计算机是怎么进行四则运算的. OD 四个区域: 左上: 反汇编区. 左下: 内存区 右上: 寄存器区. 右下: 堆栈区 作用 堆栈区 已经申请内存的地址. 该地址已经申请,我们可以使用.填充数据 mov 使用mov指令操作数据到各个部件中 立即数到内存 寄存器到内存 内存到寄存器 PT DS:[18FFFC], 汇编中地址的固定写法 DWORD,双字节宽度.8个bit WORD,单字节宽度. 4个bit 立即数到内存 MOV DWORD PTR DS:[18FFFC],12
PE结构
猫与火花
03-27 167
PE : 文件解析 dos: word e_magin ; // “MZ标记”用于判断是否为可执行文件 ...... D word e_IFanew // PE相当于文件的偏移地址,用于定位PE文件 通过dos去寻找PE开始的地方:你知道 E8 是啥不 ...
输入表与HOOK
xue_you的专栏
06-24 3361
哎,刚开始确实难得看懂,不过耐心看下去就好了 首先很有必要知道几个结构  IMAGE_DOS_HEADER *pidh;    //DOS MAGE_NT_HEADERS *pinh;   //NT IMAGE_DATA_DIRECTORY *pSymbolTable;  //数据目录 MAGE_IMPORT_DESCRIPTOR *piid;   //输入表
PE结构详解(加壳脱壳必备知识)
热门推荐
MR王峰的专栏
11-23 1万+
近期太忙一直没有抽出时间来更新文章,周末抽空写一篇关于PE结构相关知识,PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加壳脱壳等相关知识,那了解PE结构则是重中之重。 一、PE结构概述 PE文件大致可以分为两部分,即数据管理结构及数据部分。数据管理结构包含:DOSPE、节表。...
手动修改PE及反调式
qq_33526144的博客
12-13 1204
操作过程 1.运行程序,首先看到PE的开始地址(00 01倒过来为01 00),PE大小(E0) 2.
PE基础学习-手动查询导出表练习DLL
10-12
1. **读取PE**:解析PE文件的签名和文件,确认其类型(如DLL或EXE)。 2. **找到NT**:NT包含了PE文件的详细结构信息,如节区描述符和导出表的位置。 3. **解析导出表**:导出表通常包含导出函数的名字、...
PE文件解析器的原理(C语言代码)
01-16
然而,如果我们要在解析器中实现这些功能,就需要手动解析导入表的IMAGE_IMPORT_DESCRIPTOR结构和对应的THUNK数据。 最后,编写PE文件解析器还需要注意一些安全问题。PE文件可能包含恶意代码,因此在处理时要避免...
mz.rar_MZ_PE_mz与pe_文件mz?
09-24
这可能涉及到使用工具或手动编辑文件来修复信息,确保文件的正确解析和执行。 当我们谈论"文件mz?"时,这可能是在询问关于MZ的特定细节或者是在识别文件是否为PE格式时遇到的问题。通常,如果一个二进制文件...
VC手动解析PE文件调用DLL函数(资源+文件)
03-25
在VC++编程环境中,我们经常会遇到需要手动解析PE(Portable Executable)文件并调用DLL(Dynamic Link Library)函数的情况。PE文件格式是Windows操作系统中用于执行程序的标准格式,而DLL则是共享库,包含了可被多...
PE文件判断工具
02-20
这通过解析文件来实现,PE文件的部包含特定的标识符,如MZ(代表DOS时代的可执行文件)和PE签名,工具会检查这些标志以确定文件类型。这在分析未知文件或排查安全问题时非常有用,例如检测潜在的恶意软件。 ...
001-进制
DXH9701的博客
09-19 381
游戏外挂逆向基础
汇编之之之之13-14
DXH9701的博客
07-30 344
裸函数 函数体内没有任何代码的函数 但是. 编译后的汇编代码还是会 进行压栈,填充数据,保护现场 恢复现场等操作 练习 需要熟悉堆栈结构,参数,局部变量的位置. 返回值的存储位置 调用约定 不同调用的 堆栈平衡,参数压栈 都是谁来做 win os 中使用的是 stdcal 的方式 对函数进行编译 ret 8 ret 8. 相当于 ret esp + 8. 在函数结束时,esp 出栈8个字节. 俩个内存单元. 程序入口 main 方法是 KERNEL.7c816d4f 进行调用. 调用了 ma
汇编之youyouyou内存图15
DXH9701的博客
08-02 330
里面有你想看的,请访问网址 www.xxx.com
JCC-11
DXH9701的博客
10-07 324
JCC补录其他指令CMPTEST其他指令 其他指令 CMP 格式: CMP R/M,R/M/IMM. 主要根据 比较的结果 改变 ZF 标志位. 当 俩个数相等时,ZF == 1. 否则 ZF == 0. 如果是正向代码的话,就是IF 分支用来跳转,或者选择代码来执行 CMP相当于 执行 SUB 指令. 但是并不会将 比较结果存储到第一个操作数中 还会影响到 SF 标志位. 当第一个数比第二个数小,那么SF == 1.否则 SF== 0 CMP还可以寄存器和内存中的只进行比较 TEST 格式:
Ruff-1-2
DXH9701的博客
03-28 282
前言 本来在公司使用到了 MQTT.想着找一下这方面的资料.但是却找到了 Ruff的学习视频. Ruff 特点 以JavaScript作为开发语言. 高度硬件抽象 比如说,在 开关灯的时候,里面的硬件非常负载. 哪根导线和哪根导线相连接. 哪根导线有发挥了什么作用. 传输什么命令等. 这些细节都被Ruff隐藏了起来. 代码跨平台 这点是因为 Ruff 屏蔽了底层的硬件细节. 学习社区 ...
004-标志寄存器
DXH9701的博客
10-07 252
标志寄存器标志寄存器位EFLAGS标志 标志寄存器 EFLAGS寄存器上面的一些位上面的值. 某些汇编指令会根据这个值决定要不要执行本条指令 位 第0位: CF,进位标志 第2位: PF,奇偶标志 第4位: AF,辅助进位标志 第6位: ZF,零标志 第7位: SF,符号标志 第8位: TF,单步标志 第9位: IF,中断使能标志 第10位: DF,方向标志 第11位: OF,溢出标志 EFLAGS 我们将 eflags 上的值 转为 二进制. 可以查看这些位上的值 标志 这里讲解需要
汇编分分fen析IFELSE
DXH9701的博客
08-02 246
IF-ELSE的逆向代码分析
swift学习2
DXH9701的博客
03-16 216
https://www.bilibili.com/video/av94688047?p=2 本篇笔记是这节课的所有内容
Windows Pe资源文件解析
最新发布
05-30
1. 使用 PE 解析器打开 Windows PE 文件,找到资源节的偏移量和大小。通常资源节的名称是`.rsrc`,其在节表中的偏移量可以通过解析 PE 文件中的节表结构体得到。 2. 根据偏移量和大小,将资源节从 PE 文件中读取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值