windows的PE详解,教你手写,可执行文件

最新推荐文章于 2023-08-01 14:42:32 发布
最新推荐文章于 2023-08-01 14:42:32 发布
阅读量2.3k 收藏 14
点赞数 6
文章标签: window exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itsaoght/article/details/105451676
版权

伊始

  现如今windows可执行程序是基于PE结构的。如果我们了解了其中构造的方法,我们就可以实现手动打造可执行程序。也可以更好的防范DLL注入。
  本文是DLL注入与安全延申。

主体

  首先本文所用到的工具如下:

序号 软件名称
1 PE查看器
2 16j进制编辑器

  那么我们开始吧!
  在这里插入图片描述
首先我们要了解PE的组成。直接上图片!
在这里插入图片描述
整个exe由下面列表构成(重定位.reloc没有加入,.rsrc资源文件也没有加入。因为,对我们这篇文章影响不大)本程序,没有用那么多,不必要的已经删除,目的最小空间,完成我们的目标。

序号 名称
1 IMAGE_DOS_HEAD     DOS头部
2 MS-DOS Stub Program    汇编残余程序,省略了
3 IMAGE_NT_HEADERS    NT(PE)头
4 Signature    签名
5 IMAGE_FILE_HEADER    文件头
6 IMAGE_OPTIONAL_HEADER    可选头
7 IMAGE_SECTION_HEADER .text    text节头

先我们先打开16进制编辑器
在这里插入图片描述

(注:一些头部可在winnt.h文件中看到)

  1. IMAGE_DOS_HEAD     DOS头部 ,大小64与MS-DOS Stub Program大小,0-任意。
    在这里插入图片描述
      PS:数据类型 WORD 占 0x0000,也就是16进制编辑器图片中,2个00 的大小 LONG 占4个00的位置。根据系统采用大端或小端结构填充的数据也不同。我们这个环境是,低地址对应16进制低位,高地址对应16进制高位
      对于这个IMAGE_DOS_HEAD我只介绍重要的部分,不重要的部分均用0来填充,如果想知道其中含义及其使用方法,请自行百度。
      在这个结构体中,最重要的是第一个变量e_magic和最后一个变量e_lfanew。第一个变量是固定值,0x5A4D 对应的ASCII 是MZ,为什么是这个是由历史意义的,请自行百度。对一个机器码填写4D5A.
    在这里插入图片描述
      最后一个变量是指向IMAGE_NT_HEADERS,下一个头的位置。所以这个位置与你sizeof(IMAGE_DOS_HEAD)+sizeof(MS-DOS Stub Program)的总和大小。
      因为我们是win32程序,我们就不写残余程序了,直接sizeof(MS-DOS Stub Program)=0;所以就是sizeof(IMAGE_DOS_HEAD)=64,对应16进制0x00000040。所以IMAGE_NT_HEADERS起始点位地址00000040.
      因为占了4位且由低位到高位,所以填写40 00 00 00.其他变量填写00,所以由如下结果。在这里插入图片描述
      上面就把IMAGE_DOS_HEAD头,与MS-DOS Stub Program构成完毕了。
  2. MAGE_NT_HEADERS包含3部分:
    在这里插入图片描述
      1) Signature:4位固定值:0x00004550 ASCII为PE,结果如下:
    在这里插入图片描述
      2) IMAGE_FILE_HEADER,大小sizeof(MAGE_NT_HEADERS)=20
    在这里插入图片描述
       Machine 所要运行的cpu,intel值是0x014C。所以
最低0.47元/天 解锁文章
itsaoght
关注
NLP之Transformer:六大核心技术点(ED/SA/MHA/PE/FNN/RC-LN)、统计各模块可训练参数、全流程各子模块原理详解(IE+PE→Encoder【MHSA+Add&Norm+P
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
02-28 4396
​ NLP之Transformer:Transformer算法的六大核心技术点(ED/SA/MHA/PE/FNN/RC-LN)、全流程各子模块原理详解——输入Embedding+位置编码、Encoder(MHA→PwFFNN)、Decoder(MaskeMHA→MHA→PwFFNN)、Linear+Softmax之详细攻略 目录 相关文章 一、Transformer算法拆解图:吊炸天的序列模型 二、Transformer的六大核心技术点(ED/SA/MHA/PE/FNN/RC-LN)
开源多协议分布式压力测试工具Tsung详解
最新发布
dvlinker的技术专栏
07-26 69
本文详细介绍开源多协议分布式压力测试工具Tsung。
手写PE文件(一)
weixin_34138139的博客
09-05 331
DOS Header(IMAGE_DOS_HEADER)->64 Byte DOS头部                      DOS Stub 112字节                       "PE"00(Signature) 4个字节                       IMAGE_FILE_HEADER  20个字节   PE文件头       IMA...
手写可执行程序
nichonas的专栏
05-11 623
【软件名称】: Hello World!【软件大小】: 2.5K【编写语言】: 机器码【使用工具】: VC++ 6.0【操作平台】: Winxp--------------------------------------------------------------------------------【详细过程】              最近,学习PE结构的知识。之后深有感触,随即便萌发了不依
手写简单PE
Hades的博客
04-17 1491
手写简单PE环境:Windows 10010EditorLoadPE(查看写的是否正确,文中并没有截图)目的:使用十六进制编辑器(010Editor)手写一个可在Windows10上运行的只弹出MessageBox对话框最简单的exe程序1.构造DOS头 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e...
PE文件结构
wxf明的博客
12-25 313
PE,即移植的执行体。在Windows平台下,所有的可执行文件(包括EXE文件、DLL文件、SYS文件、COM文件)均使用PE文件结构。使用PE文件结构的可执行文件也成为PE文件。Windows系统下的可执行文件中包含着各种数据,包括代码、数据、资源等。虽然windows系统下的可执行文件包含如此众多的类型数据,但其存放都是有序的、结构化的、完全依赖于PE文件结构对各种数据的管理。 1.MZ...
手工打造可执行程序
zfz1214的专栏
08-18 1255
原文链 接: http://bbs.pediy.com/showthread.php?t=122191   三年前,我曾经写了一个手工打造可执行程序的文章,可是因为时间关系,我的那篇文章还是有很多模糊的地方,我一直惦记着什么时候再写一篇完美的,没想到一等就等了三年。因为各种原因直到三年后的今天我终于完成了它。现在把它分享给大家,希望大家批评指正。     我们这里将不依赖任何编译器,仅仅
exe手写资源段
sx5486510的专栏
12-26 785
GM_PE_ICON_INFO 为ICON自定义图标信息结构,包含图标大小,图标数据,这里只添加ICON图标,要让资源管理器之类的识别还得添加GROUP_ICON const DWORD SIZEOF_RES_DIR = sizeof(IMAGE_RESOURCE_DIRECTORY); const DWORD SIZEOF_RES_DIR_ENTRY = sizeof(IMAGE_RESOUR
【逆向】PE结构分析和关于PE的一些问题及解决
lanlanla的成长历程
01-08 1339
目录 前言: 开始需要大概了解一些名词: 程序的装入(地址的变换) 分页机制: 大概带着这些知识后,再来看PE的结构: 一些结构的定义 关于地址计算的一些问题 经典例题: 例题分析 ☆如何在PE中查找并计算这些地址? 计算:解决地址转换问题(使用PEView) ①计算每个节区在内存中的位置、大小: ②每个节区在文件中的偏移 ③每个节区在内存中的大小?每个节区在文件中的...
windows自带工具手写exe
03-03
windows自带的工具就可以组成一个简单的16进制编辑器用汇编指令的机器码写win32程序了。当然这种自找麻烦的做法也只能当作一种娱乐而已。
win32下PE文件(可执行文件)的常用分析与调试工具
05-02
内含多种工具,可对win32平台下的PE文件进行调试和分析,有利于进行PE文件的学习与深入研究
PE手工编辑EXE 贺昌峰.rar(EXE文件手工编辑过程, PE文件格式,为EP编写的EXE源程序VC工程 )
10-23
对一个EXE文件进行简单的修改:增加一个函数,并使程序运行后,该函数也能够执行。 目的: (1)对PE的结构有一个了解 (3) 对EXE文件的注入过程有一个了解 (4)对EXE中的重定位和导入、导出有一个理解 (5) 对汇编语言有一个学习和复习
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
【dl4j】Java深度学习入门之手写数字识别并生成exe可执行文件
XYZ
07-19 923
Java做深度学习? 今天笔者要介绍的就是如何利用java去实现手写数字识别。本文大部分内容都借鉴自其它博主,在此表示感谢,不过出于笔者喜欢记录自己做过的事情,并且写一点自己的个人体会。所以,希望大佬们不要见怪,再次感谢。 本文旨在帮助初次接触deeplearn4j的java爱好者,欢迎评论区留言交流。 温馨提示:为了避免不必要的麻烦,请先更新您的JDK和Eclipse至64位。 1.DL...
Nasm汇编手写PE32+(Windows-EXE)文件
2301_78637586的博客
08-01 147
【代码】Nasm汇编手写PE32+(Windows-EXE)文件。
PE文件格式详解(手工实现一个可执行文件
kouhong_lady的专栏
06-22 3950
【转载文章-看雪学院】非常经典 http://www.pediy.com/kssd/index.html 其实还是很多细节的地方没弄懂,保存下来,认真分析分析。【文章标题】: 手写可执行程序 【文章作者】: dncwbc 【作者邮箱】: dnc2588@163.com 【作者QQ号】: 182445917 【软件名称】: Hello World! 【软件大小】: 2.5K 【下载地址
纯手工编写的PE可执行程序
banhanjun1518的博客
07-05 229
【文章标题】:纯手工编写的PE可执行程序【文章作者】:Kinney【下载地址】:自己搜索下载【使用工具】:C32【操作平台】:win7【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐!最近,学习PE结构的知识。之后深有感触,随即便萌发了不依赖任何开发环境和编译器,纯手工写一个小程序的念头。所以我打算就写一个弹出MessageBox的小程序吧(弹出“Hell...
win32初篇-win32可执行文件的开发过程
weixin_43575859的博客
04-03 1118
win32生成可执行文件的步骤 win32汇编要比之前的8086汇编要复杂许多,光是生成可执行文件就多了好多步骤。之前的8086汇编生成可执行文件只需要将写好的汇编程序(.asm)编译,生成目标文件(.obj),然后连接就生成可执行文件(.exe)了。而win32汇编就不一样了,下面来介绍一下具体步骤。 要生成一个win32可执行文件,首先也和8086汇编一样,我们先要在文本编辑器中打出汇编程...
Windows Server 2019 DFS文件同步与域控服务器配置详解
本篇程详细介绍了如何在Windows Server 2019环境中配置分布式文件系统 (DFS) 文件服务器,以便实现跨服务器文件同步。DFS的核心原理是利用Windows域内的复制机制,确保同一文件夹在不同服务器间保持同步,即使域...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值