Win32 API和PE-COFF

最新推荐文章于 2020-12-24 08:45:53 发布
最新推荐文章于 2020-12-24 08:45:53 发布
阅读量181 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41224661/article/details/106571850
版权

一个熟练的Linux程序员可以写一个程序直接和内核交流,比如通过open或者write函数。在Windows则没有那么幸运了。每个新的安装包和Windows NT的发布,都改变了内核的接口,还有对应的库的集合。DLLs给进程提供了一种方式,用来调用不是可执行文件中的函数。Windows API通过有序的dlls集合来实现了,所以任何使用Win32 API的进程就是动态库。

一个PE文件在开始部分有输入和输出表。输入表指示了PE需要什么文件和函数。输出指示了DLL提供了什么样的函数。它也标记了一旦被加载到内存,在哪里找到函数。

不像Unix,Windows默认在当前目录搜索dll,所以从开发者的角度来看,可以发布自己的dll库。

在Win32,有许多bug。它们中的许多是没有文档说明的,并且是在写shellcode时发现的。比如LoadLibraryA,把一个dll加载到内存,如果一个period在PATH中,并且机器没有为这个特定的bug打补丁,就会失败。winsock会失败,如果栈没有字对齐。许多API在MSDN是没有文档说明的。

当你的shellcode不工作时,很有可能是windows的bug。

DISDDSS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win32 API
Matrix_Designer的专栏
09-13 651
ScrollDC<br />   函数功能:该函数水平和垂直滚动一个位矩形。<br />   函数原型:BOOL ScrollDC(HDC hDC,int dx,int dy,CONST RECT ·IprcScroll,CONST★lprcClip,HRGN hrgnUpdateLPRECT IprcUpdate);<br />   参数:<br />   hDC:含有要滚动位数的设备描述表句柄。<br />   dx:在设备单元中,指定水平滚动数量。在向左滚动时此参数必须为负。<br
Win32 API概论
patrickjun1的专栏
09-22 1231
1.1为什么使用 Win32 APIWindows程序设计领域处于发展初期时,Windows程序员可使用的编程工具唯有API函数。这些函数在程序员手中犹如“积木块”一样,可搭建出各种界面丰富、功能灵活的应用程序。不过,由于这些函数结构复杂,所以往往难以理解,而且容易误用。 随 着软件技术的不断发展,在Windows平台上出现了很多优秀的可视化编程环境,程序员可以采用“所见即所得”的编程方式来开
windows win32 API大全
zhangrukun的专栏
10-29 9422
【1】. API之网络函数  WNetAddConnection :创建同一个网络资源的永久性连接  WNetAddConnection2 :创建同一个网络资源的连接  WNetAddConnection3 :创建同一个网络资源的连接  WNetCancelConnection :结束一个网络连接  WNetCancelConnection2 :结束一个网络连接  WNetCloseEnum :结...
什么是WIN32 API
djun100的专栏
12-24 825
首先,有必要向大家讲一讲,什么是API。所谓API本来是为C和C++程序员写的。API     说来说去,就是一种函数,他们包含在一个附加名为DLL的动态连接库文件中。用标准的定义来讲,API就是Windows32位应用程序编程接口,是一系列很复杂的函数,消息和结构,它使编程人员可以用不同类型的编程语言编制出的运行在Windows95和Windows NT     操作系统上的应用程序。
程序员的自我修养--链接、装载与库笔记:Windows PE/COFF
网络资源是无限的
04-18 1595
1. Windows的二进制文件格式PE/COFF 在32Windows平台下,微软引入了一种叫PE(Portable Executable)的可执行格式。作为Win32平台的标准可执行文件格式,PE有着跟ELF一样良好的平台扩展性和灵活性。PE文件格式事实上与ELF同根同源,它们都是由COFF(Common Object File Format)格式发展而来的,更加具体地讲是来源于当时著名的...
Windows核心编程_PE文件格式解析
17岁boy的博客
06-12 1922
接上一篇的理论知识:PE文件格式 这一篇是实战,其实读取非常简单,WIndows也为我们提供了内存对齐的结构体: //DOS头 PIMAGE_DOS_HEADER //NT头(包括PE标识+Image_File_Header+OptionHeader) PIMAGE_NT_HEADERS //标准PE头 PIMAGE_FILE_HEADER 其实PIMAG...
PE详解
datouyu0824的博客
12-24 1337
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的结构一般来说如下图...
Win32-UEFILibrary:Windows的CC ++ UEFI库
05-13
1. 引导服务:这些服务包括加载PE/COFF格式的模块(如驱动程序和应用程序)、初始化内存服务、处理系统事件等。Win32-UEFILibrary封装了这些服务,使得开发者可以轻松地在Windows下模拟这些功能。 2. 运行时服务:...
PE 文件的感染WIN32CPP代码
12-09
2. **PE头**:DOS头之后是PE签名("PE\0\0"),接着是COFF(Common Object File Format)头,定义了文件的基本信息,如机器类型、节的数量和大小等。 3. **节表**:描述了PE文件中的各个节,每个节可以包含代码、...
解析PE(EXE,DLL,OCX文件)和新的Dependency Walker
04-11
Win32 APIWindows操作系统提供的一套函数库,用于低级别操作,如创建窗口、处理消息、管理内存等。Visual Studio是微软开发的一款强大的IDE,支持多种编程语言,包括C++,并且提供了一整套的调试、测试和版本控制...
WIN32 PEInside
01-16
"WIN32 PEInside"主题正是关于理解和操作PE文件格式的深入探讨。 首先,我们需要了解PE文件的基本结构。一个PE文件由多个部分或“节”(sections)组成,每个节包含特定类型的数据,如代码、初始化数据、未初始化...
通过PE方式从Exe或DLL获取图标
04-11
2. **PE头(PE Optional Header)**:紧随COFF头之后,提供了关于PE文件的可选信息,如DLL标志、入口点地址、代码和数据的大小等。 3. **资源目录(Resource Directory)**:这是一个层次结构的目录结构,包含资源...
Win32 PE病毒原理分析
liwei8703的专栏
12-07 3496
by guojpeng/CVC.GB在绝大多数病毒爱好者眼中,真正的病毒技术在Win32 PE病毒中才会得到真正的体现(令病毒极度疯狂的DOS时代已经过去)。并且要掌握病毒技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。Win32病毒同时也是所有病毒中数量极多,破坏性极大,技巧性最强的一类病毒。譬如FunLove、中国黑客等病毒都是属于这
PE文件和COFF文件格式分析(1)
yu_sn0w的博客
02-28 614
本文主要来自相关系列博文(breaksoftware的csdn博客 https://blog.csdn.net/breaksoftware/article/details/7710323)。 自己,稍微调整,整理。 MS 2.0节是PE文件格式中第一个“节”。其大致结构如下: 在VC\PlatformSDK\Include\WinNT.h文件中有对MS-DOS 2.0兼容EXE文件头的完整定义 ...
PE文件基础补注(VC + 纯API版)
cnrandy 的专栏
09-20 722
http://www.chinaitpower.com/2006Aug/2006-12-15/222429.html 
PE文件和COFF文件格式分析——签名、COFF文件头和可选文件头2
方亮的专栏
08-29 2925
之前的博文中介绍了IMAGE_FILE_HEADER结构,现在来讨论比较复杂的“可选文件头”结构体。(转载请指明来自breaksoftware的csdn博客)先看下其声明 typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; . ...
windows PE文件结构及其加载机制
热门推荐
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
解读PE/COFF文件格式
tyrone的专栏
08-04 8444
Windows平台内开发操作系统,在用Cygwin版的GCC编译源文件是遇到这样一个问题,如果使用gcc –c bootpack.c会生成bootpack.o文件,使用HEX编辑器打开改文件你会看到这样的代码:图1代码中红色框内的可读文字是COFF标准文件格式中定义的文字。这些文字以及其他部分二进制,都是程序本身以外定义的用来便于系统运行的。这些辅助的数据可以被windows识别,
Crypto_30_vHsm_Types.h
最新发布
07-09
Crypto_30_vHsm_Types
PE文件格式分析及修改.doc
06-26
这种格式起源于Unix的COFF(Common Object File Format),但经过改良以适应WindowsWin32平台。"PortableExecutable"的名称表示这种格式可以在不同的Win32环境下通用,不仅限于Intel架构的CPU。 PE文件在磁盘上是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值