![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PE文件结构
文章平均质量分 73
C4cke
这个作者很懒,什么都没留下…
展开
-
【2022.3.8】记一次exe手动添加shellcode
记录一次exe手动添加shellcode原创 2023-03-04 17:21:37 · 940 阅读 · 0 评论 -
【2022.1.3】手脱压缩壳练习(含练习exe)
记录练习手脱壳(简单的压缩壳),都有对应练习exe。原创 2023-03-04 17:15:05 · 886 阅读 · 0 评论 -
Windows PE文件结构图
Win32 PE文件格式图原创 2021-06-17 04:00:22 · 247 阅读 · 0 评论 -
模拟PE文件加载
PE重载文章目录PE重载0.说明1.PE重载原理第一步:将exe映射至内存第二步:修正重定位表的地址第三步: 修正IAT表第四步:跳转运行至PE入口2.PE重载总结3.一个小问题4.源码0.说明观看滴水逆向视频总结(部分截图来自于滴水课件)编译器:vc++6.0编写语言:c欢迎大家留言交流????^ __ ^可以加我qq一起学习:1245885144????????1.PE重载原理模拟系统加载一个exe的过程,通过pe重载的方法,可以将原有exe分割、加密、任意操作后,再通过pe重载的方原创 2020-08-10 15:33:05 · 777 阅读 · 4 评论 -
PE导入表和IAT表的原理及工作关系
PE导入表和IAT表的原理及工作关系文章目录PE导入表和IAT表的原理及工作关系0.说明1.PE导入表和IAT表大致工作关系(1)为什么会有IAT表(2)为什么会有导入表2.导入表和IAT表的真正关系(原理)(1)OriginalFirstThunk(2)Name(3)FirstAddress3.C语言解析导出表(1)建议(2)C源代码4.移动导出表到新增节区(1)流程(2)我遇到的困难(3)C源代码0.说明观看滴水逆向视频总结(部分截图来自于滴水课件)编译器:vc++6.0编写语言:c观看滴水原创 2020-07-14 03:27:30 · 5155 阅读 · 0 评论 -
PE目录项之重定位表(解析、移动、模拟运作)
PE目录项之重定位表(解析、移动、模拟运作)文章目录PE目录项之重定位表(解析、移动、模拟运作)0.说明1.解析重定位表(1)作用(2)详解2.移动重定位表到新建节区3.模拟重定位表工作(1)重定位表的工作(2)模拟它工作4.C源代码(1)解析重定位表(2)移动重定位表(3)模拟重定位表工作0.说明观看滴水逆向视频总结(部分截图来自于滴水课件)编译器:vc++6.0编写语言:c观看滴水逆向视频总结(部分截图来自于滴水课件)欢迎大家留言交流????^ __ ^可以加我qq一起学习:124588原创 2020-07-03 16:08:46 · 1456 阅读 · 0 评论 -
PE目录项之导出表(解析、移动)
PE目录项之导出表文章目录PE目录项之导出表0.说明1.简述导出表a.位置b.导出表的结构c.导出表的工作方式① 根据函数名导出② 根据序号导出函数③ 总结2.解析导出表a.注意要点b.源代码3.移动导出表所有结构到新建的节区a.移动导出表的原因b.大概流程c.注意事项d.源代码0.说明观看滴水逆向视频总结(部分截图来自于滴水课件)编译器:vc++6.0编写语言:c欢迎大家留言交流或询问????^ __ ^有不懂的直接留言,我必回!????????1.简述导出表导出表,顾名思义就是要导出的原创 2020-06-23 21:45:22 · 1454 阅读 · 0 评论 -
PE之FOA与RVA互相转换过程与C语言实现
文章目录说明一、FOA和RVA二、RVA转为FOA1.大致步骤2.特殊情况3.C语言实现函数功能三、FOA转为RVA1.大致步骤2.特殊情况3.C语言实现函数功能说明看滴水的视频写学习笔记总结语言:c/c++编译环境:vc++6.0C语言函数中定义的结构类型来自于头文件windows.h准确的说,定义的PE的结构体类型的所有数据都来自与头文件winnt.h,只不过windows.h内部声明了winnt.h一、FOA和RVA缩写英文全称含义FOAFile Offset原创 2020-05-21 18:18:25 · 1326 阅读 · 2 评论 -
静态链接库与动态链接库的建立与使用
文章目录说明一、静态链接库1.建立2.使用(1).方式一(2).方式二3汇编层,lib的调用3.静态链接库的特点二、动态链接库1.建立2.使用(1).方式一:隐身链接(2).方式二:显示链接(3).动态链接库的特点三、使用.def文件导出动态链接库建立过程查看该dll文件调用该dll文件直接写函数名字通过写函数序号说明看滴水的视频写学习笔记总结语言:c/c++编译环境:vc++6.0动态链接库方便我们封装函数,写大型项目的时候很重要,降低耦合,达到模块化的设计,方便重复使用与更新。一、静态链原创 2020-05-16 02:02:41 · 439 阅读 · 0 评论 -
C语言实现PE的拉伸压缩和扩大、合并、增加节区
C语言实现PE的拉伸压缩和扩大、合并、增加节区文章目录C语言实现PE的拉伸压缩和扩大、合并、增加节区0.说明一.各个部分的子函数1.读取2.拉伸3.压缩4.存盘5.扩大节6.合并节7.新增节二.整体代码0.说明看滴水初期视频PE部分的笔记然后自己写代码实现文件的拉伸过程PE节区扩大、合并、增大都是在拉伸之后实现的这之中涉及了许多结构体和自定义数据,都是定义在winnt.h这个头文件中,当然也被包含于windows.h这个头文件。开始的时候都是不熟,只有多写,自然就记着了。编译环境:vc++原创 2020-05-11 18:27:53 · 1616 阅读 · 4 评论 -
PE头结构说明及C语言解析
PE头结构说明及C语言解析文章目录PE头结构说明及C语言解析0.说明1.PE的整个结构2.PE结构详解DOS头NT头PE标签(PE_NT_SIGNATURE)PE文件头(PE_FIEL_HEADER)PE可选头(PE_OPTIONAL_HEADER)节表头3.C语言实现解析PE头文件0.说明看滴水初期视频PE部分的笔记1.PE的整个结构2.PE结构详解我这里只没有写数据项,因为还不怎么会0.0有些数据也没写,因为现阶段还没用DOS头WORD e_magic *原创 2020-05-11 17:16:51 · 1732 阅读 · 1 评论