PE
Miibotree
这个作者很懒,什么都没留下…
展开
-
PE格式之DOS头+PE头
清明节回来乘车到学校,没想到竟然做错了公交车。来回竟然多花了3个小时。。。。。。车子又挤。真的快无语了。所以写下代码来泄愤。。。。首先给大家推广下小甲鱼的网站http://fishc.com/ 小甲鱼是个大帅锅(。。。。)这个网站做的很齐全,里面讲汇编,PE,破解等很多好的资源。小甲鱼的视频讲解也是很详细的。自己看完书再看一遍小甲鱼的视频,最后自己再写代码巩固一下,感觉学习效果还原创 2012-04-06 21:24:08 · 5647 阅读 · 0 评论 -
PE区块权限与createfile形参权限的区别
在PE文件结构中的区块表中的IMAGE_SECTION_HEADER结构体中有一个Characteristics属性,这个属性规定了区块的属性,该属性可以设置下面这些字段:FlagMeaning0x00000000Reserved.0x00000001Reserved.0x0000000原创 2012-04-07 17:41:18 · 1428 阅读 · 0 评论 -
Writefile与SetFilePointer函数的使用
尝试着在磁盘中修改PE文件。用到writefile和SetFilePointer这两个函数下面先来看看这两个函数:SyntaxDWORD WINAPI SetFilePointer( __in HANDLE hFile, __in LONG lDistanceToMove, __inout_opt PLONG lpDis原创 2012-04-10 15:01:11 · 17369 阅读 · 0 评论 -
手动PE编辑 写出MessageBox
自己第一遍想手动写PE格式的时候,以为一个字段都不能错,小心翼翼的开始写。这得写到猴年马月去了呀。每次字段都仔细地琢磨一下,研究一下,结果到头来程序还是不能运行。第二遍写的时候,参考了网上的“手工打造微型win32可执行文件”这篇文章。http://www.xfocus.net/articles/200302/482.html文章写的很早了,自己看了这篇文章以后觉得收获非常的大原创 2012-04-24 16:40:25 · 2195 阅读 · 0 评论 -
分析QQ.exe资源目录结构
看完视频想自己动手实践一下看看QQ.exe的PE格式2012版的qq中protect版本和本来的版本是有大的不一样的。这里从两个exe文件大小的不同就可以看出来了。这里就先分析一下普通的qq.exe文件好了。首先用Resource Hacker工具查看一下资源文件,发现在图标这一栏里面有8只大小不一样的企鹅。。。。。。我这里第4只好像特别大。。。。这里就先分析下第1只企鹅的图标资源吧。原创 2012-04-25 15:36:28 · 2019 阅读 · 2 评论 -
PE格式之千里追踪输入表
高数考完了,终于可以轻松的写代码了。哈哈终于开始写输入表了。输入表是我们项目的重头戏。首先还是先介绍下输入表的基本知识。自己写的话有点麻烦,还是copy一下小甲鱼辛辛苦苦打出来的课件吧输入表结构PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。而输入表是以一个 IM原创 2012-04-15 20:21:49 · 2755 阅读 · 0 评论 -
修改导入表HOOK API(ring3_iat_exe_hook_Messagebox)<转>
IAT即Import Address Table 是PE(可以理解为EXE)的输入地址表,我们知道一个程序运行时可以要调用多个模块,或都说要调用许多API函数,但这些函数不一定都在EXE本身中,例如你调用Messagebox来显示一个对话框时,你只需要调用它,你并没有编写Messagebox的函数的实现过程,Messagebox的函数的实现过程实际上是在user32.dll这个库文件中,当这个转载 2012-04-15 18:59:19 · 1377 阅读 · 1 评论 -
PE格式之输入表
紧接着上一篇的千里追踪输入表,现在终于可以开始看输入表里面的神奇东东了。。。还是copy小甲鱼的课件。。。。输入表结构回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。而输入表是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个原创 2012-04-15 20:39:29 · 3166 阅读 · 0 评论 -
从PE格式牵涉到的理论基础的概念疑惑(修改)
学习PE的时候遇到了几个问题一直想不明白,这里先记录下来。1.CreateFile函数的返回值是一个内核对象的句柄。那么什么是内核对象呢?答:从《windows核心编程》里找到了解释:什么是内核对象? 内核对象只是内核分配的一个内存块,并且只能由该内核访问。该内存块是一种数据结构,它的成员负责维护该对象的各种信息。有些数据成员(如安全性描述符、使用计数等)在所有对象类型中是相同的原创 2012-04-16 16:25:35 · 898 阅读 · 0 评论