逆向分析学习笔记--PE文件加载流程

最新推荐文章于 2024-05-15 09:54:59 发布
最新推荐文章于 2024-05-15 09:54:59 发布
阅读量2.3k 收藏 4
点赞数 3
分类专栏: 逆向分析 文章标签: PE文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20977145/article/details/52751783
版权

一、WIN32PE加载流程

(参考《软件保护及分析技术》)
win32程序一般是由其他程序启动生成的,启动的顺序一般为:
1、创建进程CreateProcessA或CreateProcessA,这两个函数在其内部调用了又调用了NtCreateUserProcess,从这里开始进程就已经创建
2、内核调用NtCreateUserProcess后,会根据传递过来的参数来检查参数中指定的程序状态和文件格式,如果PE文件合格且允许载入,就开启新进程,新进程创建完成后,内核就已经把Ntdll.dll模块加载到内存空间
3、新进程创建后第一条指令函数(Ntdll.dll).LdrInitializeThunk,在这个函数内部会调用LdrLoadDll来载入Kernel32.dll以及其它需要的dll模块
4、LdrLoadDll在装载dll时,会用模块名称测试模块是否已在内存,若没有加载则调用NtOpenFile–>NtMapViewOfSetiony映射模块,否则直接NtMapViewOfSetiony映射
5、所有模块及数据初始化完毕之后,调用(Ntdll.dll)RtlUserThreadStart启动主线程

王二娃的生活
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件PE加载的过程
weixin_43742894的博客
03-31 2029
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存中 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
进程的创建过程——PspCreateProcess逆向
weixin_45678798的博客
07-30 568
创建一个进程是通过NtCreateProcess开始执行的,它通过简单的对参数处理把任务交付给NtCreateProcessEx,然后NtCreateProcessEx检查ProcessHandle句柄是否可写,把真正的创建任务交给PspCreateProcess,所以PspCreateProcess才是真正的创建进程的函数。...
题目:揭秘Amber:隐形的PE加载
最新发布
gitblog_00030的博客
05-15 302
题目:揭秘Amber:隐形的PE加载器 项目地址:https://gitcode.com/EgeBalci/amber 1、项目介绍 在信息安全领域,隐藏并保护执行代码的技术是至关重要的。Amber是一个创新性的PE(Portable Executable)加载器,它能够实现PE文件(如EXE,DLL,SYS等)的内存中无痕执行。由Amber生成的反射性负载可以被远程服务器分阶段部署,或者直接在内...
PE文件动态加载执行过程
Mentally_slow的博客
08-30 1044
主要步骤: 1.将要加载文件读取到内存中(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝中对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间中(模仿PE加载器将文件装载到虚拟内存中),先根据op头的SizeOfHeaders,将文件的各种头数据先拷贝过来(因为各种头数据是线性存储的,在静态动态都是相同的存放顺序),随后复制节表数据,遍历每个节表,如果当前节表在文
PE文件结构详解
神棍之路
07-20 9641
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
逆向查壳工具--Exeinfo PE
05-31
逆向查壳工具--Exeinfo PE
PeViewer - PE格式文件查看器 - 中文版
11-20
PeViewer - PE格式文件查看器 - 中文版 查看Windows平台的PE格式文件的节区信息
LordPE - 查看PE文件的强大工具 Win10系统可用
11-20
LordPE - 查看PE文件的强大工具 Win10系统可用 LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。
PEview - 打开Windows平台PE格式文件的小工具
11-20
PEview - 打开Windows平台PE格式文件的小工具
秦万强PE文件学习笔记.pdf
06-06
秦万强PE文件学习笔记.pdf
PE 文件解析程序(含反汇编)
08-13
解析PE文件,包括数据,资源待。代码反汇编,函数结构分析等~~
使用LdrLoadDll 注入DLL,支持注入64位dll
06-03
源码是c++代码翻译过来的, 所以, 那些指针读写的偏移我就不做过多的讲解.....那些偏移都是对应某个成员.... 众所周知, 易语言的数据类型是个坑, 所以, 申请一块空间当成一个结构使用了。愿意研究的话, 结构是这个。注入流程:。1. 创建远程线程。2. 注入一段代码到目标进程里执行。3. 这段代码调用 LdrLoadDll 加载dll。4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回。2021-12-17 更新。使用了eWOW64Ext http://www.sanye.cx/?id=12671。1. 注入32位进程只能使用32位的dll。2. 注入64位进程只能使用64位的dll。支持注入任务管理器。@福仔。
windows PE文件结构及其加载机制
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
Windows(多)操作系统启动过程
cz_water的专栏
08-23 4645
 一.WinPE启动原理移动硬盘PE启动原理WinPE文件组成:引导文件:NTLDR和NTDETECT.COM系统文件:WinNT.XPE(WinPE.XPE)和WinPE.IS_(或WinPE.IM_),有些WinPE没有内置中文支持,所以还要WNPEFONT.BIN来支持中文。外置程序:WinPE.INI(也可以是其它文件名,如PESOFT.INI等)和OP.W
Pe研究之:从内存中加载Pe文件(代码重定位,进程隐藏,代码注入)
mergerly的专栏
01-19 4991
<br />Pe研究之:<br /> <br />从内存中加载Pe文件<br /> <br />作者:Sunline              lisunlin0@yahoo.com.cn 日期:2007年7月<br />关键字:代码重定位,代码注入,远程代码, 加载exe文件, 加载dll文件<br />Remotthread, injectcode, relocation code, load dll from memory, load pe from memory load pe from memor
逆向工程——查看PE文件
sinat_42424364的博客
09-19 4644
dumpbin和objdump工具的使用 1.打开vs2010-&amp;amp;amp;gt;tools-&amp;amp;amp;gt;visual studio prompt vs2017 在帮助文档下使用dumpbin工具查看PE文件的头部信息、节、节表信息 2.在linux系统中装objdump工具并使用(ubuntu系统可以使用apt-get进行安装) 3.使用二进制编辑器winhex,查看实验所用到的二进制程序(exe)...
逆向分析学习入门教程
热门推荐
wang010366的专栏
09-17 3万+
转在于 逆向工厂(一):从hello world开始前沿从本篇起,逆向工厂带大家从程序起源讲起,领略计算机程序逆向技术,了解程序的运行机制,逆向通用技术手段和软件保护技术,更加深入地去探索逆向的魅力。一、程序如何诞生?1951年4月开始在英国牛津郡哈维尔原子能研究基地正式投入使用的英国数字计算机“哈维尔·德卡特伦”,是当时世界上仅有的十几台电脑之一。图中两人手持的“纸带”即是早期的程序,纸带通过是否
cve-2020-0796漏洞逆向分析
11-21
CVE-2020-0796漏洞,也被称为"SMBGhost",是一个影响微软Windows操作系统的严重漏洞。该漏洞存在于Windows 10版本1903和1909之间的SMBv3协议中,攻击者可以利用此漏洞执行远程代码,从而控制受感染的系统。 对CVE-2020-0796漏洞进行逆向分析是为了深入了解其工作原理及漏洞利用的具体细节。逆向分析通常包括静态和动态分析两个方面。 首先,静态分析是通过对漏洞程序的反汇编、分析源代码或查看二进制文件等方法来了解漏洞的工作原理。这可以帮助研究人员识别漏洞的关键功能、漏洞的出现位置以及可能的漏洞利用方式。 其次,动态分析是在虚拟化环境中或实际受感染的系统上运行漏洞程序,监视其行为并捕获关键信息。通过动态分析,研究人员能够观察到漏洞利用的具体过程,从而理解攻击者是如何利用漏洞来执行远程代码或获取系统权限的。 在逆向分析过程中,研究人员需要使用一些特定的工具,如反汇编器、调试器以及网络分析工具等。这些工具可以帮助研究人员获取漏洞程序的内部结构、系统调用、网络通信等关键信息,有助于理解漏洞的利用方式和脆弱点。 通过逆向分析CVE-2020-0796漏洞,能够帮助安全专业人员更好地理解漏洞的工作原理,从而开发相应的补丁或安全措施以防止攻击者利用该漏洞入侵系统。此外,逆向分析还有助于提高安全分析人员的能力和知识,进一步提升网络安全的整体水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值