2021-04-05 可执行文件的PE结构

最新推荐文章于 2022-05-02 10:31:24 发布
最新推荐文章于 2022-05-02 10:31:24 发布
阅读量81 收藏
点赞数
分类专栏: 汇编笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mfmfmmf1/article/details/115448358
版权

可执行文件的PE结构 proble execute

任何可执行文件 都有 文件头 代码区 数据区 这三个部分

知道了相应的16进制数字所代表的意义 就能从一堆1010中看懂一个文件

比如 55 8B 就是函数头 2C 或者3C 就是函数尾

 

每个exe都有自己的核心代码区 也就是《指纹》

上市游戏通过扫描电脑内存,如果发现了ollydbg的指纹, 就会关掉游戏,甚至让电脑蓝屏。 这就是反逆向。

而如果逆向工具不是市面上通用的,而是自己制作的,就不会被识别出指纹。

mfmfmmf1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件结构详解(二)可执行文件
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件文件头的含义,因为几乎所有的文件格式,重要的信息都包含在头部,从头部的信息,可以引导系统解析整个文件
PE文件简介
热门推荐
kabeor的博客
05-01 1万+
PE文件 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 结构 (用个网上的图) ...
windows PE Image 文件分析
ymzhou117的专栏
03-10 3489
转自:http://www.mouseos.com/windows/PE_image1.html 上面是 windows PE 可执行文件格式的结构图,分为 4 个部分:DOS 文件头、NT 文件头、Section 表以及 Directory 表格。 windows 的 executable image 文件使用的是这种 PE 格式,而 object 文件使用的是 COFF 文件格式。
pe可执行文件结构详细讲解图
01-20
pe可执行文件结构详细讲解图,详细画出了每个section,资源段,代码段等信息,共学习pe格式的新手使用或是老手查询用。
可执行文件结构PE文件结构讲解
qq_46145027的博客
05-02 2325
我们使用电脑时肯定会接触各种各样的应用程序,有应用程序就会有对应的可执行文件,比如最常见的.exe文件。事实上,Windows平台下,所有的可执行文件(包括EXE、DLL、SYS、OCX、COM......)使用的都是同一种文件结构,也就是PE(Portable Executable)文件结构。所以说所有可执行文件究其本质都可以叫它PE文件。这里要注意一点:事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。 下面就来结合事例详细介绍一下PE文件到底是个什么东西。
PE文件结构详解--(完整版).pdf
03-08
PE文件是portable File ...了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件的数据结构机器运行机制,对于逆向破解,加壳等安全方面方面的同学极其重要。接下来我将通过接下来几篇详细介绍PE文件的格式。
PE文件结构图-清晰
01-10
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
Manalyze:用于PE可执行文件的静态分析器
02-24
但是在我看来,专家用户(例如,恶意软件分析师)可以使用一种工具来分析PE可执行文件,并提供尽可能多的数据,并由他们最终决定。 如果您想查看该工具生成的一些示例报告,请随时尝试为它创建的Web服务: 。 目录...
word ptr 按字处理 byte ptr按字节处理
mfmfmmf1的专栏
12-17 3778
名字 seg:60 +00 DEC 单位 +03 Huawei 年龄 +0C 34 收入 +0E 7000 产品名 +10 PDP 任务 将年龄改为 35 , 将产品名改为 COM mov ax,seg mov ds,ax mov bx,60 mov word ptr [bx].0ch, 35         ...
YJX基础44 __declspec(naked)
mfmfmmf1的专栏
08-25 2381
(在写驱动时)如果函数前不加__declspec(naked) 编译时编译器会自作主张补上栈移动和return,这样会破坏栈平衡 void __declspec(naked) NTSTATUS _MyNtGetThreadContext(HANDLE hThread, PCONTEXTpcontext) { __asm{ jmp dword ptr[g_NtGetThreadContext] //...
用debug来执行exe
mfmfmmf1的专栏
12-15 2087
用debug来执行exe 运行dosbox mount c k:\ c: debug 1.exe 此时 1.exe的内容被加载到内存中 位置是DS 或者说DS+10H :0  (10H 是十进制的16)  DS代表的是段地址 换算成字节要乘以16  所以10H的空间是 16*16=256字节 这256个字节的空间 叫PSP,是DOS用的 与程序本身没关系 不深究 程序正式开始的内存...
内存单元 地址寄存器
mfmfmmf1的专栏
12-12 1148
mov指令可以完成两种传送 1 将数据直接送入寄存器(CS IP除外) 2 将一个寄存器的内容送入另一个寄存器 那么 如何将内存单元中的内容送入一个寄存器中呢? 例题          已知内存单元情况                                         10000H 23 10001H 11 10002H 22 10003H ...
用 word ptr 和 byte ptr 指明内存单元的长度
mfmfmmf1的专栏
12-17 1068
以下的操作 都是字操作 mov ax,1             mov bx,ds:[0]             mov ds,ax           mov ds:[0], ax         inc ax  add ax,1000 以下的操作 都是字节操作 mov al,1 mov al,bl mov al,ds:[0] mov ds:[0], al inc a...
初次汇编程序 masm5
mfmfmmf1的专栏
12-14 962
下载masm5.zip  解压到 k: \masm5                    (汇编语言编译工具包) 下载debug.exe 放在k: 下载dosbox 并运行 mount c k:\                                    把k盘加载到C盘 c: debug                                           ...
除法div
mfmfmmf1的专栏
12-17 913
格式 :          div reg              或   div 内存单元   被除数默认放在 DX和AX中 如果除数为8位 则 AX当被除数 如果除数为16位 则DX*10000+AX 当被除数  DX放高十六位 AX放低十六位 除数放在一个reg或者一个内存单元中 例题  求100001 / 100        既186A1H / 100          ...
2021-04-03 cmp与jne配合实现if判断
mfmfmmf1的专栏
04-03 807
逆向插入汇编代码 cmp与jne配合 cmp a,b 如果a==b 那么寄存器ZF会变为1 否则为0 当ZF为0时,也就是a不等于b时, jne会完成跳转
2021-04-17 非对称加密为什么不能用公钥解密?
mfmfmmf1的专栏
04-17 560
非对称加密为什么不能用公钥解密? 因为加密过程中的一步使用了模运算,模运算是不可逆的 23%3=2 但是由2和3是无法逆推回23
段式地址 寄存器
mfmfmmf1的专栏
12-11 497
8086CPU 它的位数是16位 但是地址总线是20位的 于是它用两个16位地址合成来表达一个20位的地址 (用地址加法器加工的) 第一个16位叫段地址 第二个16位地址叫偏移地址 所以 物理地址= 段地址*16+偏移地址 ============================================================ CPU的工作原理 重点 以8086CPU为...
pe结构 pdf文件
最新发布
11-10
PE结构(Portable Executable Structure)是一种Windows操作系统下的可执行文件格式,常用于存储和加载应用程序、动态链接库和驱动程序等可执行文件。而PDF(Portable Document Format)是一种跨平台的文档格式,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值