逆向分析学习笔记--PE文件加载流程

最新推荐文章于 2022-05-02 13:49:32 发布
最新推荐文章于 2022-05-02 13:49:32 发布
阅读量2.3k 收藏 4
点赞数 3
分类专栏: 逆向分析 文章标签: PE文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20977145/article/details/52751783
版权

一、WIN32PE加载流程

(参考《软件保护及分析技术》)
win32程序一般是由其他程序启动生成的,启动的顺序一般为:
1、创建进程CreateProcessA或CreateProcessA,这两个函数在其内部调用了又调用了NtCreateUserProcess,从这里开始进程就已经创建
2、内核调用NtCreateUserProcess后,会根据传递过来的参数来检查参数中指定的程序状态和文件格式,如果PE文件合格且允许载入,就开启新进程,新进程创建完成后,内核就已经把Ntdll.dll模块加载到内存空间
3、新进程创建后第一条指令函数(Ntdll.dll).LdrInitializeThunk,在这个函数内部会调用LdrLoadDll来载入Kernel32.dll以及其它需要的dll模块
4、LdrLoadDll在装载dll时,会用模块名称测试模块是否已在内存,若没有加载则调用NtOpenFile–>NtMapViewOfSetiony映射模块,否则直接NtMapViewOfSetiony映射
5、所有模块及数据初始化完毕之后,调用(Ntdll.dll)RtlUserThreadStart启动主线程

王二娃的生活
关注
专栏目录
[网络安全自学篇] 六十二.PE文件逆向PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
[系统安全] 七.逆向分析PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6161
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
PE文件PE加载的过程
weixin_43742894的博客
03-31 2146
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存中 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
PE文件结构及其加载机制(四)
weixin_33778778的博客
09-04 114
下面我们开始学习节表。 不知道还记不记得在前面哪个结构体中出现过节的数量?   嘿嘿,忘记了吧,我们翻开以前的记录,看看。 原来是 typedef struct IMAGE_NT_HEADERS   {    DWORD Signature;    IMAGE_FILE_HEADER FileHeader;    IMAGE_OPTIONAL_H...
PE文件的装载过程(2)
weixin_33743661的博客
05-29 113
上一篇讲到PE load程序已经找到了PE文件头,PE文件头的定义如下所示: IMAGE_NT_HEADERSSTRUCTSignatureDWORD?;PE文件标识FileHeaderIMAGE_FILE_HEADER<>OptionalHeaderIMAGE_OPTIONAL_HEADER32<>IMAGE_NT_HEADERSEN...
Pe研究之:从内存中加载Pe文件(代码重定位,进程隐藏,代码注入)
mergerly的专栏
01-19 5017
<br />Pe研究之:<br /> <br />从内存中加载Pe文件<br /> <br />作者:Sunline              lisunlin0@yahoo.com.cn 日期:2007年7月<br />关键字:代码重定位,代码注入,远程代码, 加载exe文件, 加载dll文件<br />Remotthread, injectcode, relocation code, load dll from memory, load pe from memory load pe from memor
PE文件加载流程
dohxxx的博客
03-20 4478
PE加载流程 1.将PE文件用ReadFile读取数据 char szFileName[] = "1.exe"; //打开文件,设置属性可读可写 HANDLE hFile = CreateFileA(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, ...
秦万强PE文件学习笔记.pdf
06-06
学习PE文件结构对于理解Windows程序的加载和执行过程、逆向工程以及病毒分析等方面都非常重要。由于PE文件是Windows平台程序运行的基础,因此深入了解PE格式是每个Windows平台下的程序员和安全研究员的基本技能。
随手笔记-PE概述-Object Pascal描述(连载)1
08-03
总结起来,了解PE文件结构对于Windows程序开发和逆向工程至关重要。DOS_HEADER提供兼容性,NT_HEADER和FILE_HEADER定义了文件的基本属性,而OPTIONAL_HEADER包含了运行时信息。数据目录入口、节表项和导入表等则确保...
pc样本学习笔记PE类恶意程序的快速分析技巧(EXE篇.docx
最新发布
05-05
本篇文章将根据提供的文件信息《pc样本学习笔记PE类恶意程序的快速分析技巧(EXE篇)》的内容概要,深入探讨PE类恶意程序(特别是EXE格式)的分析方法和技术要点。 ### PE类恶意程序简介 PE(Portable Executable...
PE加载
11-28
一个PE文件加载器,可以直接从内存中加载EXE文件和DLL文件.——包括压缩的DLL和EXE。 已更新http://download.csdn.net/source/359338
pc样本学习笔记PE类恶意程序的快速分析技巧(DLL篇.docx
05-05
1. **DOS Header**:位于文件开头,包含了一个简单的自举加载器以及指向PE Header的偏移量。 2. **PE Signature**:紧接着DOS Header之后,标识这是一个PE文件。 3. **File Header**:包含了文件的类型、机器类型等...
PE加载过程
qq_58405021的博客
12-05 1374
PE加载过程
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1205
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
PE文件动态加载执行过程
Mentally_slow的博客
08-30 1163
主要步骤: 1.将要加载文件读取到内存中(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝中对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间中(模仿PE加载器将文件装载到虚拟内存中),先根据op头的SizeOfHeaders,将文件的各种头数据先拷贝过来(因为各种头数据是线性存储的,在静态动态都是相同的存放顺序),随后复制节表数据,遍历每个节表,如果当前节表在文
PE文件加载过程揭秘(3)
abcd8080的博客
07-08 153
2011年10月09日 星期日 16:24 转载自 cvvd 最终编辑 cvvd 让我想想,这集应该谈什么来着?哦,对了,上次说的重定位数据了,嗯。说到数据的重定位,我们就不得不谈谈系统究竟为什么要对数据进行麻烦的重定位?既然在IMAGE_OPTION_HEADER中有一项ImageBase,指定了程序欲加载的位置,那么程序中用到的地址引用就都可以 以映射基址进...
PE文件加载过程揭秘(4)
abcd8080的博客
07-08 140
2011年10月09日 星期日 16:25 转载自 cvvd 最终编辑 cvvd 相信大家通过前几篇对PE文件学习,已经可以自己找到资源表了!没错它就是数据目录的第三项,从这里我们得到的是如下结构的RVA 前3x4byte空间一般为0,只有后面的NumberOfNamedEntries(以资源名表示的资源数目)和NumberOfIdEntries(以ID...
PE文件加载过程揭秘(2)
abcd8080的博客
07-08 203
2011年10月09日 星期日 16:23 转载自 cvvd 最终编辑 cvvd 图1 PE加载器在完成文件实体数据到内存虚拟数据的映射之后,便开始从位于IMAGE_OPTION_HEADER末端的IMAGE_DATA_DIRECTORY数组的第2项(如图2),取出输入表的RVA和大小,准备开始输入函数的初始化。输入表的RVA实际上是指向一个以IMAGE_IM...
PE文件结构及其加载机制
vbsourcecode的专栏
11-01 1900
PE文件结构及其加载机制(一) 一、PE文件结构 PE即Portable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值