PE
IT989
这个作者很懒,什么都没留下…
展开
-
小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
(注:最左边是文件头的偏移量。)IMAGE_DOS_HEADER STRUCT { +0hWORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp //Bytes on last page of file +4hWORD e_cp //Pages in转载 2016-03-29 16:17:07 · 285 阅读 · 0 评论 -
PE文件执行顺序
当一个PE文件被执行时,PE装载器首先检查DOS MZ header里的PE header的偏移量。如果找到,则直接跳转到PE header的位置。当PE装载器跳转到PE header后,第二步要做的就是检查PE header是否有效。如果该PE header有效,就跳转到PE header的尾部。紧跟PE header尾部的是节表。PE 装载器执行完第二步后开始读取节表中的节段信转载 2016-03-29 16:12:54 · 310 阅读 · 0 评论 -
变形PE头添加节形式感染
今天我们讲的主题是“变形PE头添加节形式感染”。因为大部分的添加节过程,在对节表结构尾部空隙不够写入一个新的节表结构时,都处理的不是很恰当。今天我来给大家带来一种思路,通过变形PE头来让我们有足够的空隙写入一个新的节表结构。1. 变形PE头原理: 这里的变形PE头的思路是用的比较方便的方法,就是将结构融合起来。聪明的你是否已经想到了? 就是将IMAGE_DOS_HEADER转载 2016-03-29 16:24:40 · 336 阅读 · 0 评论