![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PE结构
玩撕你
111
展开
-
导入表
找到倒入表对应的rva,转为foa, 导入表有很多,每一个有20个字节,最后一个导入表结尾有20个字节的0,所以据此判断导入表结束位。 导入表结构体如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating...原创 2019-11-11 00:20:49 · 280 阅读 · 0 评论 -
注入shellcode
shellcode是能够放在任何地方都能够执行的机器码 2.编写shellcode原则 一:不能有全局变量 二:不能调用系统函数 三:不能嵌套调用函数 3.编写shellcode实战 一:shellcode分为基本模块和功能模块,结构如下图: FS:[0]是TEB 从FS:[0X30]对应peb,偏移找到当前线程的dll模块链表,找到模块基地址, 利用pe导出表知识...原创 2019-11-08 14:52:45 · 1263 阅读 · 0 评论 -
导出表
一个可执行文件是由一堆的PE文件组成。exe文件往往只有导入表无导出表,这个不是绝对的 如何找到导出表: 在扩展PE头(_IMAGE_NT_HEADERS ->_IMAGE_OPTIONAL_HEADER OptionalHead->_IMAGE_DATA_DIRECTORY ->IMAGE_DIRECTORY_ENTRY_EXPORT)里面的最后一个成员,比较特殊,他说...原创 2019-11-07 18:02:46 · 146 阅读 · 0 评论 -
pe结构第一节
1.什么是可执行文件(executable file) 指的是由操作系统进行加载执行的文件。 windows平台 PE(protable Executable)文件结构 Linux平台 ELF(Executable Linking Format)文件结构 哪些领域用到PE文件格式: 1.病毒反病毒 2.外挂反外挂 3.加壳与脱壳(保护与破解) 2.如何识别PE文件?...原创 2019-11-05 21:06:16 · 356 阅读 · 0 评论