PE框架基础学习(一)

最新推荐文章于 2024-03-17 23:33:54 发布
最新推荐文章于 2024-03-17 23:33:54 发布
阅读量3.5k 收藏 3
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43603988/article/details/103703976
版权

文章目录

PE 结构基础与图解

虚拟地址(VA): 在一个程序运行起来的时候,会被加载到内存中,并且每个进程都有自己的4GB,这个4GB当中的某个位置叫做虚拟地址,也就是内存中的地址,由物理地址映射过来的,4GB的空间,并没有全部被用到。
基地址( Imagebase ): 磁盘中的文件加载到内存当中的时候可以加载到任意位置,而这个位置就是程序的基址。EXE默认的加载基址是400000h,DLL文件默认基址是10000000h。需要注意的是基地址不是程序的入口点。
相对虚拟地址(RVA):。RVA是在内存中相对与载入地址(基地址)
的偏移量,所以你可以发现前三个概念的关系 : 虚拟地址(VA)= 基地址+ 相对虚拟地址(RVA)
文件偏移地址(FOA):当PE文件储存在某个磁盘当中的时候,某个数据的位置相对于文件头的偏移量。
入口点(OEP):首先明确一个概念就是OEP是一个RVA,,然后使用 OEP + Imagebase == 入口点的VA,通常情况下,OEP指向的不是main函数。
VOffset:节起始地址对于ImageBase的偏移量
ROffset:该节起始地址对于文件的偏移量

现在让你求某个虚拟地址VA,对应的文件偏移地址 fRVA
fRVA-ROffset=RVA-VOffset
fRVA=RVA-VOffset+ROffset
(RVA=VA-ImageBase)
_S_I97C41TTZHWO5~__L__5.png

RVA 和文件偏移的转换

在这里插入图片描述

PE 指纹

文件开头DOS标志“MZ” -> 在0x3c(e_lfanew)处可找到“PE”头地址
由此可确定该文件为PE文件

9MJF_R@AY`6GXFWV~O6518C.png

DOS MZ文件头

IMAGE_DOS_HEADER STRUCT 
{
    
    WORD    e_magic        //   MZ(4Dh 5Ah)     DOS可执行文件标记 
    WORD    e_cblp            
    WORD    e_cp                         
    WORD    e_crlc                      
    WORD    e_cparhdr      
    WORD    e_minalloc       
    WORD    e_maxalloc  
    WORD    e_ss           
    WORD    e_sp       
    WORD    e_csum      
    WORD    e_ip        
    WORD    e_cs        
    WORD    e_lfarlc       
    WORD    e_ovno          
    WORD    e_res[
最低0.47元/天 解锁文章
WOWrice
关注
专栏目录
C/C++学习路线总结与分享
dvlinker的技术专栏
10-07 9万+
C/C++学习路线总结与分享
PE框架学习
weixin_34242331的博客
02-09 4879
PE开发基础: 开发平台PowerEngine: 开发新功能: 业务逻辑处理: 1、Transaction:交易 2、Chain:链、责任链 3、Command:命令 4、Template:模板 5、Action:动作 PE交易处理流程: 无论一个交易的发送渠道是HTTP还是TCP,最终针对每一个渠道的Adapter会将请求的Form(HTTP)或报文(TCP)转换成与渠道无关的Context...
PE框架学习之道:PE框架——使用工厂类生成序列号seq
Java小迷的专栏
09-15 3200
1:在action中调用方法 ((IdFactory) getService("deptSeqIdFactory")).generate() 2:在三个文件中定义"deptSeqIdFactory" 3:第一个文件,peSequence_oracle.properties             --表明该方式使用于oracle数据库    idFactory.dept
PE文件框架结构图
huninglei3333的博客
11-24 889
PE文件框架结构图
框架学习之道:PE框架简介
weixin_30343157的博客
03-28 1622
1.PE框架开发新功能所需的部分 2.PE框架工作流程(重要) 首先根据<transcation>中的id号,找到模板(template),然后再根据模板找到责任链(chain),一旦确认chain就按照流程图执行,从chain中执行command,执行到deletegatecommand后结束,跳到模板,再去执行<action>,然后跳转到相应的jsp页面。流程图...
企业使用的PE框架
weixin_43115038的博客
03-05 6760
1.认知 PE即PowerEngine 2.业务逻辑处理 1、Transaction:交易 2、Chain:链、责任链 3、Command:命令 4、Template:模板 5、Action:动作 == 在介绍之前先了解这几个业务逻辑的概念和职能 == Transaction:交易 一个业务处理功能的入口。 关键点: 交易id 引用的模板 定义的action 数据校验 返回页面的渠道 tran...
科蓝PE框架
weixin_46014132的博客
03-15 1353
PE框架因出现的时期较早,所以看不到现在成熟框架的影子 PE框架的研究,虽然代码难懂,但是很有意义(如DTD、Servlet) PE框架基于模板和责任链模式,业务代码隔离至action中,开发人员只要写这部分代码,加上一些模板的选择和责任链的个性化拼接即可 PE框架的模板或责任链如果不适用当前系统,可以进行组合或者扩展 对于模板和责任链模式的研究,可以让你深刻理解接口规范,抽象类模板的概念 ...
线的基础知识PPT学习教案.pptx
10-01
线材在IT行业中扮演着至关重要的角色,它们是设备间数据和电力传输的桥梁。这份PPT学习教案详细介绍了线材的基础知识,包括其分类、结构以及...这份PPT教案提供了一个全面的学习框架,有助于读者掌握线材的基本知识。
PEViewer.zip
02-28
通过学习这个源码,开发者可以深入理解C++编程、MFC框架以及PE文件结构的细节。 总结来说,PEViewer是一个实用的工具,它利用MFC库解析和显示PE文件的关键信息。对于那些想要学习PE文件格式、C++编程和MFC应用开发...
PE详细结构图
03-25
可执行文件结构即PE文件结构超级详细的大图,包括每一个数据段的内容和作用
peframe:PE框架
05-08
PE框架 PEframe是一个开源工具,可对恶意软件进行静态分析。 用法 $ peframe malware.exe $ peframe [--option] malware.exe 选项 --json Output in json --import Imported function and dll --export Exported function and dll --dir-import Import directory --dir-export Export directory --dir-resource Resource directory --dir-debug Debug directory --dir-tls TLS directory --strings Get all strings --se
详细的PE结构图(带中文解释)
09-03
最详细的PE结构图。有中文注释。最详细的PE结构图。有中文注释。
PE的完整教程,一切从0开始
08-21
PE的完整教程,一切从0开始 PE的完整教程,一切从0开始
公司框架配置和讲解
03-01
核心配置 博文链接:https://fourfire.iteye.com/blog/84222
科蓝pe框架
wangalong123的博客
05-12 2563
主体流程: Ajax->MainServlet–>MainController–>CoreController–>Chain–>Template–>Action->ViewResolver MainServlet组合 multipartResolver multipart解析器、localeResolver locale解析器、viewResolver 视图解析器、mainController 主控制器。主要是解耦给MainController处理,并处理视图.
PE文件学习
热门推荐
giantbranch的专栏
05-21 1万+
1.介绍 什么是PE文件? PE文件是windows操作系统下使用的可执行文件格式。32位就直接叫PEPE32,64位的就PE+或PE32+,注意不是PE64哦!!!! 学习PE文件其实就是学习结构体,里面储存了如何加载到内存,从何处开始运行,运行需要那些dll,需要多大的栈和内存等 初识PE文件 看看大概包括那些结构体吧 2.PE
PE知识学习(一)
oathevil的专栏
08-04 644
<br />PE知识学习(一)<br /><br />PE 文件的知识是基本的知识.网上有很多这方面的资料.然而系统讲解的却不多.我不是这方面的专家,却希望能抛砖引玉,得到这方面的一些指点.<br /><br />计算机这门科学是实践性很强的一门学问,如果想扎扎实实的学会点东西,还是要亲自动手试一试.<br />在继续向下看之前,我假定你会基本的C语言和简单的使用VC6.0,以下的例子都用用到这些.除此之外,不再做任何假设.<br />关于pe的一些结构可以在winnt.h这个头文件里找到.<br /><b
PE文件架构学习(二)
最新发布
m0_75243362的博客
03-17 901
​ 在PE文件与原始数据之间存在一个区块表。区块表中包含每个块在映像中的信息,分别指向不同的区块实体,一个区块对应一个块表,可以把一个区块想象成一个人,然后人的身份信息就被放在了块表里面,块与区块表的对应关系如下:​ 紧跟着 IMAGE_NT_HEADERS 的是区块表,它是一个。每个 IMAGE_SECTION_HEADER 结构包含了它所关联的区块的信息,例如位置、长度、属性等等,其结构如下:​。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值