windows 可执行文件分析

最新推荐文章于 2020-12-10 20:19:50 发布
最新推荐文章于 2020-12-10 20:19:50 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: windows 文章标签: exe hook HOOK Hook windows Windows WINDOWS WIndows 可执行文件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he702477275/article/details/8467643
版权
Windows可执行文件如.exe、dll等并非自动运行,而是通过CreateProcessW函数启动。文件名与可执行性无关,关键在于注册表设置及CreateProcessW相关API。Hook NtCreateSection和NtCreateProcessEx可用于监控和控制程序启动。
摘要由CSDN通过智能技术生成

windows可执行文件是什么?

是具有PE文件格特性的文件,例如:.exe、dll、ocx等文件。
注:(这里只是让大家能明了一些,其实,可执行与否,和后缀没有什么关系,后缀只是windows方便管理用的)。
如:在xp sp3上,你双击或右键打开一个可执行文件时。并不是那个可执行文件自动执行的。它并不存在自动运行能力。而仅仅是,调用了CreateProcessW函数来启动这个可执行文件。如下,是桌面上,双击或右键打开一个记事本软件,堆栈情况,如下

CPU Stack
Address   Value      ASCII Comments
0007DFE8   ; RETURN from kernel32.CreateProcessW to SHELL32.7D5DA1F8
0007DFEC  ; ApplicationName = "C:\Documents and Settings\heyueyi\桌面\notepad.exe"
0007DFF0   ; CommandLine = ""C:\Documents and Settings\heyueyi\桌面\notepad.exe" "
0007DFF4   ; pProcessSecurity = NULL
0007DFF8   ; pThreadSecurity = NULL
0007DFFC    ; InheritHandles = FALSE
0007E000   0; CreationFlags = CREATE_NEW_CONSOLE|CREATE_UNICODE_ENVIRONMENT|CREATE_DEFAULT_ERROR_MODE
0007E004
最低0.47元/天 解锁文章
he702477275
关注
专栏目录
Windows下将Python文件打包成.EXE可执行文件的方法
09-20
总结来说,`pyinstaller`是一个强大的工具,可以将Python脚本转换为独立的Windows可执行文件。通过了解其基本用法和选项,开发者能够轻松地创建可分发的.exe程序,无需目标机器安装Python环境。不过,务必记住,打包...
Windows下的EXE文件解析
06-12
详细讲解了Windows下的EXE文件解析
win32下PE文件(可执行文件)的常用分析与调试工具
05-02
内含多种工具,可对win32平台下的PE文件进行调试和分析,有利于进行PE文件的学习与深入研究
EXE文件分析器(可以给EXE资源编辑)
01-28
可以给EXE资源编辑 可以编辑外挂补丁等其他的资源 功能很强大的哦
Hello World 深入理解(3)——目标文件分析
Biao
12-10 577
前言: 问题:最后编译出来的可执行文件里面是什么?除了机器码还有什么?他们怎么存放的?怎么组织的? 在Linux系统中可执行文件属于elf文件格式中的一种,它里面有编译后的机器指令,数据,符号表,调试信息,字符串等等信息。如果要知道它是如何存放的,那就需要了解ELF文件格式 可执行程序可执行文件格式( Executable)主要是 Windows下 的 PE (Portable Executable)和 Linux 的 ELF (Executable Linkable For........
Golang在windows下使用当前用户身份调用其他程序
focus on security
10-15 2749
Golang在Windows下以系统服务运行时其运行身份是SYSTEM,此时使用exec包启动其他程序时,默认也会是SYSTEM身份,而由于windows的隔离机制,启动的程序是不会显示界面的。故在此情况下不能使用exec包,需要调用windows api使用当前用户身份打开其他程序。 通过调用CreateProcessAsUserW这个api可以用其他用户身份创建进程,所以我们可以通过获取当前用户的Token并用它来调用这个API。 Golang中的实现已有相关代码在https://gist.githu
windows可执行文件
最新发布
04-27
"windows可执行文件"这个主题涉及到的是如何在Windows环境下运行特定的程序,即ffmpeg包。 FFmpeg是一个强大的开源跨平台多媒体处理工具,它支持音频和视频的编码、解码、转换、流化等多种功能。在Windows上使用...
js打开windows上的可执行文件示例
10-25
首先,代码中创建了一个JavaScript函数`openjsb()`,这个函数的作用是执行特定的Windows可执行文件。函数内部首先创建了一个`ActiveXObject`对象,这是一种在IE浏览器中使用的旧技术,用于创建ActiveX控件的实例。在...
基于Unicorn-Engine的开源Windows可执行文件沙盒实现解析.pdf
08-08
目 录 1.虚拟化软件的比较以及各自的特点. 2.unicorn-engine介绍. 3.Hack unicorn-engine. 4.wxemu的设计不实现. 5.wxemu 的功能 6.Demo. 7.目前存在缺点不计划.
windows下安装hive2.3.3缺少的可执行文件
08-07
windows10下安装hive2.3.3的时候,无法执行hive命令,原因是官方下载文件中缺少可执行文件(好多个cmd文件),安装的时候无法执行成功。下载后,解压替换hive的bin目录即可执行成功。
hive_windows可执行文件
01-16
windows下hive可执行文件,下载解压后替换hive安装目录 下的bin目录即可
确定是 WINDOWS可执行文件
03-31
确定是 WINDOWS可执行文件VB技术很实用的源码VB经典源码,别的地方都找不到,本人长期提供原创源码,请到我的博客www.cpu7.net编程资料栏获取。
Win10不需要Cygwin搭建大数据测试环境搭建hive的bin文件(包含官方版本中缺少的cmd文件)hive)
08-20
Win10不需要Cygwin搭建大数据测试环境搭建hive的bin文件(包含官方版本中缺少的cmd文件),完美解决windows环境下配置hive时,找不到hive命令问题
windows PE Image 文件分析
ymzhou117的专栏
03-10 3539
转自:http://www.mouseos.com/windows/PE_image1.html 上面是 windows PE 可执行文件格式的结构图,分为 4 个部分:DOS 文件头、NT 文件头、Section 表以及 Directory 表格。 windowsexecutable image 文件使用的是这种 PE 格式,而 object 文件使用的是 COFF 文件格式。
Windows可执行文件简述(三)
rivershan的专栏
03-23 3624
Windows可执行文件简述(三)4.LE格式在Windows3.x的时代,从DOS启动WindowsWindows在把机器转到保护模式之前需要在实模式下做一些初始化。实模式的16位代码必须和32位代码一起放在可执行文件中。旧的DOS下的可执行文件和NE格式的可执行文件无法满足这个要求,于是从Win 3.x起到Win 9x,产生了一种新型的可执行文件格式LE,它只适用于工作于系统底层的、
Dll注入经典方法完整版
xumaojun的专栏
12-09 4541
 Pnig0s1992:算是复习了,最经典的教科书式的Dll注入。 总结一下基本的注入过程,分注入和卸载 注入Dll: 1,OpenProcess获得要注入进程的句柄 2,VirtualAllocEx在远程进程中开辟出一段内存,长度为strlen(dllname)+1; 3,WriteProcessMemory将Dll的名字写入第二步开辟出的内存中。 4,CreateRemo
Gloomy对Windows内核的分析(内核反汇编技术)
峥嵘岁月
01-31 3035
内核反汇编技术===============================Windows  NT主要是由C写成的,所以总的来说进程本身的反汇编不是很复杂。通常对局部变量和参数的使用是通过地址和用EBP形成的stack frame来进行的。例如:PAGE:801932D4    mov     eax, large fs:0PAGE:801932DA    push    ebpPAGE:
Windows可执行文件简述(一)
rivershan的专栏
03-23 3863
Windows可执行文件简述(一) 操作系统中的文件是一种抽象的机制,提供了一种在磁盘上保存信息而且方便以后读取的方法。在Windows操作系统中,一个用户可以最直接体会到的文件的形式就是以.exe、.dll等为扩展名的可执行文件。伴随着Windows操作系统的不断进步,其可执行文件的格式也发生了巨大变化。这期间主要有4个过程:DOS中出现的最简单的以.com为扩展名的可执行文件和以.ex
深入解析:Windowsexe可执行文件的运行机制
"本文主要探讨了Windows环境下exe可执行文件的运行原理,涵盖了从程序的初始化、主函数的运行过程到程序收尾工作的整个生命周期。文章适合对Windows操作系统和Windows编程有一定了解的读者,旨在以通俗易懂的方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值