Windows PE记录简介(PE概念简介)-2

最新推荐文章于 2024-10-12 08:34:48 发布
最新推荐文章于 2024-10-12 08:34:48 发布
阅读量372 收藏
点赞数
分类专栏: PE 文章标签: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nihaowzw/article/details/52210263
版权

首先了解与PE有关的基本概念:
1. 虚拟内存地址(VA)
2. 相对虚拟内存地址(RVA)
3. 文件偏移地址(FOA)
4. 特殊地址
虚拟内存地址:PE文件被操作系统加载进入内存,进程的基地址+相对虚拟内存地址

相对虚拟内存地址:虚拟内存中用来定位某个特定位置的地址,该地址的值是这个特定位置距离某个模块基地址的偏移量。

文件偏移地址:和内存无关,是指某个位置距离文件头的偏移。

然后在PE中有一个数据结构称为数据目录,包含了导出表,导入表,资源表,异常表,属性证书表,重定位表,调试数据,Architecture,Global Ptr,线程局部存储,加载配置表,绑定导入表,IAT,延迟导入表和CLR。

节的概念:用来存放不同类型数据,比如代码、数据、常亮、资源等,不同的节具有不同的访问权限。

对齐:
内存对齐:通常32位的windows XP是4KB,64位的是8KB
文件对齐:通常会以一个物理山区的大小作为对齐粒度的值,即512字节
资源对齐:略

Lige_goes_on
关注
专栏目录
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
PE信息获取 记录
梦落红尘
11-19 638
#pragma once #include //ImageRvaToVa使用到 #pragma comment(lib,"Dbghelp") #define _in #define _out typedef struct MAP_FILE_STRUCT { HANDLE hFile; //文件句柄 HANDLE hMap; //映射句柄 LPVOID ImageBase;
PE文件全记录(前言)
Hop的专栏
02-05 790
        研究了几天PE格式,对PE格式有了一定的了解。必定资料还是挺多的,可是也有很多地方不容易理解。在参考了一些资料,和自己编写程序进行了探索,算是对PE格式有了一定的初步了解。明天,开始写写关于PE的文章,自己的心得体会。附录:         PE文件简单理解就是windows下我们常见的EXE可执行文件.PE是一种文件格式。PE的意思就是Portable Executable(
Windows PE记录-OllyDBG-1
nihaowzw的博客
08-15 266
首先,对软件工具做一个记录,第一个软件,我们不得不得记录,他是OllyDBG, 这里就介绍下寄存器以及尝试。在寄存器那个框框,我们可以看到几种寄存器,eax,ebx,ecx,esi,edi,esp,ebp等,需要特别关注ebp(栈基地址指针),esp(栈顶指针),eip(指向下一条要执行的指令的位置)这里有两个快捷键:F7单步步入 F8单步步过
告诉你Windows PE 是什么东东?详细介绍一下winpe
weixin_30487317的博客
11-11 2268
针对菜菜朋友可以对PE这样理解:大家是不是都用过xp系统?(一个独立的操作系统)xp系统是由好多好多的文件构成的:.exe .txt .dll ~~~ 那么大家一定也知道精简型的XP(没用过也不会来这里,这里就是靠精简xp发的家,说多了)----------说到这里~,大家可能还不明白。说完下面的一定会明白!超精简型XP,就是减少一些文件,进行一些精简的XP。PE也是一样,它一样是用xp精简过来的...
Windows平台PE文件,内存地址到磁盘地址的转换(RVA to RAW),补丁原理
fw72fw72的博客
11-23 1628
内存地址转换为磁盘地址 计算公式为 RAW = RVA(相对虚拟地址) - VirtualAddress(内存中节区起始地址) + PointerToRawData(磁盘文件中节区起始位置) RVA = VA(虚拟地址) - ImageBase(基址) =>RAW = VA - ImageBase - VirtualAddress + PointerToRawData
Windows PE》6.1 重定位表
bcdaren的博客
10-12 1003
重定位表(relocation table)是在可执行文件或动态链接库(DLL)中用于指示系统在加载时对代码和数据进行重新定位的数据结构。在可执行文件或 DLL 中,代码和数据通常是使用相对地址进行引用的。当将可执行文件或 DLL 加载到内存中时,如果加载地址与文件中的基地址不匹配,就需要对代码和数据进行重新定位,以确保引用的地址正确。重定位表重定位表的结构与解析重定位表的修改。
可执行文件格式详解 Windows PE和Linux ELF
01-19
2. **结构差异**:PE使用节(Section)和段(Segment)的概念,而ELF只使用节。PE的节和内存中的段是直接对应的,而ELF的节可能映射到内存的不同区域。 3. **链接方式**:PE支持静态和动态链接,ELF同样支持,但其...
随手笔记-PE概述-Object Pascal描述(连载)1
08-03
Windows操作系统中,可执行文件(EXE、DLL等)采用PE(Portable Executable)格式。本篇文章将从Object Pascal的角度来深入理解PE文件结构,主要关注DOS_HEADER、NT_HEADER以及FILE_HEADER和OPTIONAL_HEADER这四个...
PE工具 IATRebulid-V1.02 IAT 重建工具
03-16
Windows操作系统中,可执行文件(.exe)遵循一个名为Portable Executable(PE)的文件格式。PE文件包含了运行程序所需的所有信息,包括代码、数据、资源以及指向函数入口点的地址表,这就是我们常说的Import ...
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
热门推荐
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
PE格式区段表学习
字节跳动
12-12 543
1 网址 PE格式解析-区段表及导入表结构详解 2 区段结构图
Windows PE (老毛桃) 介绍功能介绍
weixin_34384681的博客
01-11 425
1.1 Windows PE 介绍 Windows PreInstallation Environment(Windows PE)直接从字面上翻译就是“Windows预安装环境”,微软在2002年7月22日发布,它的原文解释是:“Windows预安装环境(Windows PE)是带有限服务的最小Win32子系统,基于以保护模式运行的Windows XP Professional内核。它包括运行W...
回顾Windows 20年的发展历史
网络 人生 学习 进步
01-09 9584
  前传 盖茨和他的微软  时间追溯到1973年, 一个来自于西雅图的18岁孩子比尔•盖茨 (Bill Gates) 以优异的成绩进入了他梦寐以求的哈佛大学. 在这里, 酷爱数学和计算机的他开始了对软件技术的钻研, 写出 "伟大的软件" 是这个年轻人的目标和理想. 也就是在这期间, 比尔•盖茨开始了最初的商业尝试. 他为当时的Altair 8800电脑设计出了第一个BASIC语言解译器, 这是
基于FPGA的智能车牌检测系统设计与实现
11-08
内容概要:本文介绍了一种基于FPGA的智能车牌检测系统。该系统采用了OV5640摄像头进行图像采集,通过FPGA集成化开发环境进行图像处理,主要包括图像格式转换、图像灰度化、图像增强、边缘检测、腐蚀膨胀、投影定位等技术步骤。该系统能够在复杂环境中快速实现车牌的图像采集及定位,提高了车牌检测的效率和准确性。 适合人群:具备一定嵌入式系统和图像处理基础的研究人员和技术人员。 使用场景及目标:适用于智慧交通管理系统,尤其是停车场、高速公路、智能制造等领域,主要用于实现实时的车牌检测与识别。 其他说明:系统采用Sobel算子进行边缘检测,中值滤波进行图像增强,投影定位确定车牌位置,整体处理效率较高,适用于复杂光照条件下的车牌检测。
【java毕业设计】springbootJava学生选课系统(springboot+vue+mysql+说明文档).zip
11-08
项目经过测试均可完美运行! 环境说明: 开发语言:java 框架:ssm jdk版本:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse 部署容器:tomcat7+
JDK-API-1-6-zh-CN
11-08
JDK API 1.6 中文版,附使用说明
【java毕业设计】springbootJava校车管理信息系统(springboot+vue+mysql+说明文档).zip
11-08
项目经过测试均可完美运行! 环境说明: 开发语言:java 框架:ssm jdk版本:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse 部署容器:tomcat7+
resnet模型-python语言pytorch框架训练识别动物-不含数据集图片-含逐行注释和说明文档.zip
最新发布
11-08
本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 首先是代码的整体介绍 总共是3个py文件,十分的简便 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01生成txt.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集 运行02CNN训练数据集.py,会自动读取txt文本内的内容进行训练,这里是适配了数据集的分类文件夹个数,即使增加了分类文件夹,也不需要修改代码即可训练 训练过程中会有训练进度条,可以查看大概训练的时长,每个epoch训练完后会显示准确率和损失值 训练结束后,会保存log日志,记录每个epoch的准确率和损失值 最后训练的模型会保存在本地名称为model.ckpt 运行03pyqt界面.py,就可以实现自己训练好的模型去识别图片了
Windows PE文件格式详解及应用
资源摘要信息:"Windows PE文件格式" Windows PE文件格式是微软Windows操作系统中使用的一种可执行文件格式,它是Windows NT内核操作系统的一部分。PE代表Portable Executable,这种文件格式从1993年的Windows NT ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值