PE/Virus
文章平均质量分 65
W1nds
每天进步一点点。
展开
-
两种方法获取文件OEP
读取的字段都是一样的,只是一个直接从PE文件中读取,一个映射到内存后再读取 1.文件直接访问法 BOOL ReadOEPByFile(LPCTSTR szFileName) { HANDLE hFile; hFile=CreateFile(szFileName,G原创 2011-08-23 15:42:18 · 1616 阅读 · 0 评论 -
PE结构导出表详细解析
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARY DLL EXPORTS FuncDll 按序号导出: LIBRARY DLL EXPORTS FuncDll @ 1 NONAME 按名称和序号导出: LIBRARY DLL EXPORTS fnDll1 @ 1 NONAM原创 2012-01-27 23:31:49 · 15881 阅读 · 2 评论 -
关于ImageRvaToVa与SEC_IMAGE的一些东东
hMapping=CreateFileMapping(hFile,NULL,PAGE_READWRITE,0,0,NULL); 第三个参数或上了SEC_IMAGE,指定该属性相当于告诉系统要映射文件的映像并给页面设置相应的保护属性,具体见核心编程P456。我在写PE加载器的时候发现该参数与ImageRvaToVa函数有冲突!!!!具体ImageRvaToVa是怎么实现的微软没公开,大体逆了一下原创 2012-01-31 23:10:45 · 4008 阅读 · 5 评论 -
模仿LordPE写了个PE解析工具
能实现基本的信息获取 区段信息 数据目录信息 导入表函数分析 导出表函数分析,能同时解析只序号导出和以函数名序号同时导出的函数 FLC计算 需要源码的可以留邮箱。原创 2012-02-01 14:33:16 · 3986 阅读 · 25 评论 -
手动构造PE文件
很早以前就拜读了A1Pass得手工构造PE文件一文,可是一直没有去动手实践下,寒假本来想写个PE分析工具结果愣是发现自己PE结构都忘得毛都没了。。。so 蛋疼 今天就参考该文来自己手动构造一个。 这里先提个问题,WinMain函数是符合_stdcall调用约定的,我们都知道winmain接收四个参数,这四个参数的堆栈是有谁来清理呢?理论上应该是系统吧,但是调试程序最后总会发现个 0040原创 2012-01-13 18:24:40 · 2309 阅读 · 1 评论 -
一个脑残壳的框架设计与实现
组成: 1.引导程序:由vc6 win32 dll工程 2.主程序:MFC工程 引导程序与主程序一起开发,使用时引导程序作为资源放到主程序中。 主程序执行流程: 1. 载入待加壳程序与引导程序,保存待加壳程序入口点与基址。 LPEFile m_lpeFile,m_lpeStup; if (!LoadPE(&m_lpeFile,&m_lpeStup)) {原创 2012-03-03 20:23:11 · 3871 阅读 · 0 评论