cay22的专栏

让一切都有记录;让一切都能分析;让程序像人一样思考.

排序:
默认
按更新时间
按访问量
RSS订阅

Python解析PE文件

一. 下载安装pefile库 https://code.google.com/p/pefile/downloads/list 解压后, 把pefile.py和peutils.py拷贝到你的工程中即可.(你也可以安装到Python中, 就是双击Setup.py后把pefile.pyc拷贝到X:\...

2013-11-05 16:40:40

阅读数 2902

评论数 0

PE文件格式分析系列(文章3)----一个PE文件rdata段的分析(Win32工程Release版)(二)

PE文件格式分析系列(文章3) 一个PE文件rdata段的分析(Win32工程Release版)(二) 下面分析这个PE文件rdata段的常量数据(000050A4---0000543D) 000050A0 |                         00 00 00 00 |   ...

2012-06-23 22:25:27

阅读数 2603

评论数 0

PE文件格式分析系列(文章2)----一个PE文件rdata段的分析(Win32工程Release版)(一)

PE文件格式分析系列(文章2) 一个PE文件rdata段的分析(Win32工程Release版)(一) 在分析MFC工程调试版的PE文件时, 导入表在idata段 而这个Win32工程Release版的PE文件, 导入表在rdata段, 并且rdata段不仅包含导入表信息, 还包含了一些...

2012-06-23 22:15:25

阅读数 2712

评论数 0

PE文件格式分析系列(文章1)----一个PE文件导入表数据的分析(MFC工程调试版)

PE文件格式分析系列(文章1) 一个PE文件导入表数据的分析(MFC工程调试版) 一. 该PE文件使用了6个DLL 分别是: 1. mfc42d.dll 2. msvcrtd.dll 3. kernel32.dll 4. user32.dll 5. mfco42d.dll 6. ...

2012-06-23 22:05:20

阅读数 1073

评论数 0

一个奇怪的PE文件

TestSwitch.rar里的PE文件很奇怪(这个文件是我自己代码编译出来的) 看图1 IMAGE_SECTION_HEADER (Count: 3) (Size: 0x0028H)(ROF: 0x000001C0)        Name       VSize           ...

2012-06-19 15:09:34

阅读数 851

评论数 0

VC编译的exe程序, Debug版会有重定位表, Release版就没有重定位表

VC编译的exe程序, Debug版会有重定位表, Release版就没有重定位表 可能是用于调试用的吧, 通常exe没有重定位表的, 而DLL通常就有。

2012-06-19 15:05:23

阅读数 1093

评论数 0

输入表在PE中的结构及加载过程

http://hi.baidu.com/mymillet/blog/item/0c09123debead3c19f3d6249.html 输入表结构我们知道,程序调用外部的dll函数通常都是下面这种形式:     call my_label     ... my_label: jmp dw...

2012-03-31 08:39:04

阅读数 1747

评论数 0

关于IMAGE_OPTIONAL_HEADER.SectionAlignment与IMAGE_OPTIONAL_HEADER.FileAlignment 以及内存映射的字节对齐

关于IMAGE_OPTIONAL_HEADER.SectionAlignment与IMAGE_OPTIONAL_HEADER.FileAlignment 以及内存映射的字节对齐 的关系. 一. PE格式(包括文件中和内存中)是怎么分块对齐的? PE的大概格式是: IMAGE_DOS_HEA...

2012-02-26 15:23:29

阅读数 2198

评论数 0

关于PE文件格式中IMAGE_OPTIONAL_HEADER.FileAlignment的一些说明

关于PE文件格式中IMAGE_OPTIONAL_HEADER.FileAlignment的一些说明 这个字段是在文件对齐时使用的. 例如FileAlignment = 0x1000, 有一个节真正有用的数据大小为0x400, 但是因为FileAlignment是0x1000, 所以连接器生成文...

2012-02-24 15:15:01

阅读数 1504

评论数 0

“PE文件格式”1.9版 完整译文(附注释)

【翻译】“PE文件格式”1.9版 完整译文(附注释) 标 题: 【翻译】“PE文件格式”1.9版 完整译文(附注释) 作 者: ah007 时 间: 2006-02-28,13:32:12 链 接: http://bbs.pediy.co...

2012-02-11 16:51:14

阅读数 1100

评论数 0

PE文件格式

http://blog.csdn.net/clever101/article/details/6024047 http://www.cnblogs.com/hoodlum1980/archive/2010/09/08/1821778.html

2012-02-11 16:25:32

阅读数 616

评论数 0

IAT表详解

http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT表详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_...

2012-02-05 01:03:29

阅读数 4974

评论数 0

IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT问题

IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT问题 今天读取了ws2_32.dll的PE格式 在读取到image_nt_header32.OptionalHeader.DataDirectory[11]时 也就是IMAGE_DIRECTORY_ENTRY_BOUND_I...

2012-02-04 11:54:18

阅读数 1898

评论数 0

VC生成的exe文件中, Dos头部分除了Dos Stub之外, 还多了一些东西

VC生成的exe文件中, Dos头部分除了Dos Stub之外, 还多了一些东西 gcc编译器编译出来的exe文件的dos头部stub部分只有This program cannot be run in DOS mode,但是VC除此之外还多出来几行,谁知道这几行这是干什么的,在纯dos模式下VC...

2012-01-12 13:42:08

阅读数 1541

评论数 0

把某个PE文件里的DOS Stub程序分离出来

http://hi.baidu.com/sageking2/blog/item/c653a23dfe2bfae73c6d9715.html 把某个PE文件里的DOS Stub程序分离出来 正常PE文件格式会有一个Dos Stub块,事实上就是一个DOS下的*.exe程序。 当我们拿一个Win...

2012-01-11 15:31:57

阅读数 1694

评论数 0

VC中改变PE文件中Dos Stub程序(显示This program cannot be run in DOS mode)那一段程序.

VC中改变PE文件中Dos Stub程序(显示This program cannot be run in DOS mode)那一段程序. 1. 先做一个纯DOS下的dos16.exe, (masm5.0编译连接) 2. 然后做一个window下的win32.exe (VC6.0编译连接) ...

2012-01-11 14:53:10

阅读数 5920

评论数 0

一些网址

http://topic.csdn.net/u/20091030/05/2362D834-B848-4047-9D02-BA61D2C5DB1C.html http://ntcore.com/files/richsign.htm   http://www.heibai.net/article...

2012-01-11 10:29:52

阅读数 585

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭