Reverse-2 - PE文件

已于 2022-02-07 11:48:46 修改
阅读量653 收藏 5
点赞数
分类专栏: re 文章标签: windows 其他
于 2022-02-07 09:41:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38205354/article/details/122673625
版权
本文详细介绍了可移植可执行文件(PE)格式,主要应用于32位和64位Windows系统。内容涵盖PE文件的加载过程,文件头结构如DOS头和NT头,以及关键字段如AddressOfEntryPoint和ImageBase。此外,还讨论了不同平台的二进制文件格式,如Linux的ELF和Mac OS X的Mach-o。
摘要由CSDN通过智能技术生成

一、PE文件

wiki:可移植可执行文件(Portable Executable,缩写PE)是一种用于可执行文件,目标文件和动态链接库的文件格式。主要使用在32位和64位的Windows操作系统上,“可移植的”是指该文件格式的通用性,可用于许多不同的操作系统和体系结构中。PE文件格式封装了Windows操作系统加载可执行程序代码时所必须的一些信息,这些信息包括动态链接库、API导入和导出表,资源管理数据和线程局部存储数据,在Windows NT操作系统中,PE文件格式主要用于EXE文件、DLL文件、.sys文件(驱动文件)和其他文件类型。

1.1 不同平台的二进制文件格式

Executable(.exe on windows, no suffix on Linux)

包含自己独立执行的代码。资源有可能要依赖外部的动态链接库

Dynamic Linked Library(.dll on windows,.so (Shared Library aka Shared Object) on Linux)

需要被其他文件加载(exe、dll、......)(所用函数:LoadLibrary

Static Library (.lib on windows 、.a on Linux)

Mac OS X 使用Mach-o文件格式

Linux使用ELF文件格式

1.2 PE文件加载

        每个进程都会有自己的虚拟内存空间,分为内核空间和用户空间,通过Executable Loader来加载对应的库文件,依次加载到用户空间内。

 1.3 文件or镜像

文件:磁盘形式

映像:内存形式

 1.4 tools

所有关于PE文件的结构定义在WinNT.h中,

tools:010Editor、X64dbg、....

char(1byte) word(2byte)dword(4byte)qword(8byte)

VA(Virtual Address虚拟地址) RVA(Relative Virtual Address相对虚拟地址)

RVA=VA-base

虚拟内存:

        每个进程独立/隔离,32bit分配4GB(2^32),64bit分配256TB(2^48)

        内存由操作系统管理,映射到物理内存,

磁盘文件位置与内存位置的关系:

 二、PE文件具体内容

文件头、节区、各种属性表:导入导出表……

<

最低0.47元/天 解锁文章
最佳卧底
关注
专栏目录
中职网络安全—2022年国赛逆向PE Reverse解题思路
Jay
07-18 1647
4.对靶机服务器场景桌面上的PE01.exe二进制文件进行静态调试,尝试破解该二进制文件,将注册成功后的回显信息作为Flag值提交;2.对靶机服务器场景桌面上的PE01.exe二进制文件进行静态调试,将该二进制文件中检查许可证的关键函数作为Flag值提交;题目是(对靶机服务器场景桌面上的PE01.exe二进制文件进行静态调试,将main函数的入口地址作为Flag值提交;在ida左边的工作栏里,会显示程序和系统各种函数的入口地址,我们可以看到,这个程序main函数的入口地址为。.........
2022年网络安全技能大赛国赛 PE逆向分析
05-13
2022年全国职业院校技能大赛网络安全国赛 PE逆向分析 reverse
转:通过ReverseMe学习PE文件结构-输出表
zhangmiaoping23的专栏
07-02 732
转:http://lwglucky.blog.51cto.com/1228348/302172 任务:  给程序Reversed.exe添加一个输出表,将调用MessageBoxA的那个过程改造成一个输出函数,然后在ReverseMe.exe中装载修改后的Reversed.exe文件,调用该函数,让ReverseMe.exe和Reversed.exe有相同的功能。  工具:U-Edit、Ol
解决由于电脑的系统设置原因 导致git bush 无法使用的问题
最新发布
m0_57761613的博客
07-17 266
解决git bush 无法正常使用问题,显示DLL地址映射出现问题的解决。
二进制文件概述
weixin_30932215的博客
04-12 222
《软件漏洞分析技术》笔记 PE文件:   PE(Portable Executable)是win32平台下可执行遵守的数据格式。平时常见的比如*.exe和*.dll都是PE文件。   可执行文件:包含二进制代码,字符串,菜单,图标,位图字体等。   运行时操作系统会按PE文件的约定定位资源并装载入内存。可执行文件 ——>拆分——>若干数据节<——不同的资源。   典型P...
reverse-BUUCTF
song_10的博客
08-26 1373
1、easyre ida中搜索字符串即可得到flag: 2、helloword 拿到是apk文件,jeb中打开,即可得到flag 3、reverse1 elf文件,IDA中打开,搜索字符串 定位到判断函数: 查看伪代码: __int64 sub_1400118C0() { char *v0; // rdi signed __int64 i; // rcx ...
CTF 【每日一题20160626】简单的PE文件逆向-附件资源
03-02
CTF 【每日一题20160626】简单的PE文件逆向-附件资源
XPEViewer:适用于Windows,Linux和MacOS的PE文件查看器
03-10
适用于Windows,Linux和MacOS的PE文件查看器/编辑器。 十六进制 拆装机 熵 签名扫描 如何在Linux上构建 安装Qt 5.15.2: : 克隆项目:git clone --recursive 编辑build_lin64.sh(检查QT_PATH变量) 运行build...
PE文件格式分析及修改.doc
02-21
PE 文件格式的分析和修改对软件开发和 Reverse Engineering 等领域非常重要。只有通过对 PE 文件格式的深入分析和理解,才能更好地开发和维护软件应用程序。 在实际应用中,PE 文件格式的分析和修改还可以用于 ...
分析PE代码IdaPython脚本
05-15
分析PE代码IdaPython脚本、输出至XML文件
reverse_bits(二进制的数值转换)
奋斗之路
04-23 784
#include unsigned int reverse_bits(unsigned int value); int main() { unsigned int temp = 2550136832; unsigned int result; result = reverse_bits(temp); printf("%u\n",temp);
PE文件代码的加密与解密
dasgk的专栏
09-07 2932
// 区块合并.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include using namespace std; #pragma comment(lib,"imagehlp.lib") char* strSrcExePath="D:\\project\\tmp\\Debug\\tmp.ex
[BUUCTF]REVERSE——reverse2
mcmuyanga的博客
10-14 2973
reverse2 附件 例行检查,64位目标 64位ida载入,首先shift+f12检索程序里的字符串 得到了“this is the right flag!” 的提示字符串,还看到了一个可能是flag的字符串,“hacking_for fun}” 双击“this is the right flag!” 的提示字符串,ctrl+x找到调用处 根据27行的if判断可知,只有当我们输入的字符串s2跟flag字符串一一样,就会提示我们flag是正确的,看一下flag字符串 hacking_for_fun
PE代码中的数据
weixin_34292402的博客
07-03 349
PE代码中可能包含一些数据,比如 optional header中的data directory会索引到一些数据,比如import/export table等等; 还有一些jump table/switch table等等。 一般来说,direct/indirect call/branch的目标,可能是代码,也可能是数据,比如: mov eax, offset_funccall eax ...
PE文件代码特征码扫描 以及进程代码扫描
xiaobai_2511的博客
03-16 3396
好久没写博客了  今天好累  休息一下 想起来写个博客  (未加壳文件) 最近在做PE文件的特征码扫描   刚开始的时候一头雾水  因为对PE文件的格式不是很了解   之前虽然看过一些PE文件的帖子 但是都是看不下去  现在针对这几天的努力 贴上我对PE文件特征码扫描的一些见解  方法和代码 1、PE文件特征码扫描   a). 读文件  判断是否是PE格式的文件文件文件的开始
《BUUCTF逆向题解》——reverse2
qq_62735163的博客
02-24 386
照例查壳 64位 ELF文件 无壳 用IDA64打开,找到main函数 观察发现 当s2与flag相等时,说明我们找到的正确的flag 双击flag 得到flag的原始数据{hacking_for_fun} 继续观察 这个for循环将 ’i '和 ‘r' 字符改为数字 ‘1’。 则flag为 flag{hack1ng_fo1_fun} ...
reverse-i-search
07-27
反向搜索(reverse-i-search)是一个命令行工具中常用的功能,用于搜索并显示之前输入的命令历史记录中最后一个与指定关键词匹配的命令。通过按下Ctrl+R键,你可以启动反向搜索模式,然后开始输入关键词,命令行会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值