PE结构
玩撕你
111
展开
-
导入表
找到倒入表对应的rva,转为foa,导入表有很多,每一个有20个字节,最后一个导入表结尾有20个字节的0,所以据此判断导入表结束位。导入表结构体如下:typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating...原创 2019-11-11 00:20:49 · 297 阅读 · 0 评论 -
注入shellcode
shellcode是能够放在任何地方都能够执行的机器码2.编写shellcode原则一:不能有全局变量二:不能调用系统函数三:不能嵌套调用函数3.编写shellcode实战一:shellcode分为基本模块和功能模块,结构如下图:FS:[0]是TEB从FS:[0X30]对应peb,偏移找到当前线程的dll模块链表,找到模块基地址,利用pe导出表知识...原创 2019-11-08 14:52:45 · 1286 阅读 · 0 评论 -
导出表
一个可执行文件是由一堆的PE文件组成。exe文件往往只有导入表无导出表,这个不是绝对的如何找到导出表:在扩展PE头(_IMAGE_NT_HEADERS ->_IMAGE_OPTIONAL_HEADER OptionalHead->_IMAGE_DATA_DIRECTORY ->IMAGE_DIRECTORY_ENTRY_EXPORT)里面的最后一个成员,比较特殊,他说...原创 2019-11-07 18:02:46 · 160 阅读 · 0 评论 -
pe结构第一节
1.什么是可执行文件(executable file)指的是由操作系统进行加载执行的文件。windows平台 PE(protable Executable)文件结构 Linux平台 ELF(Executable Linking Format)文件结构 哪些领域用到PE文件格式:1.病毒反病毒2.外挂反外挂3.加壳与脱壳(保护与破解)2.如何识别PE文件?...原创 2019-11-05 21:06:16 · 377 阅读 · 0 评论