![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PE文件结构
richard1230
这个作者很懒,什么都没留下…
展开
-
有关TLS的一点理解
源代码说明分析:源代码#include "stdafx.h"#include <windows.h>// 说明使用TLS#pragma comment(linker, "/INCLUDE:__tls_used")// 普通的全局变量int globenum = 0xFFFFFFFF;// TLS变量__declsp...原创 2018-03-17 23:42:39 · 648 阅读 · 0 评论 -
有关PE文件的一些总结
PE加载的一些核心步骤软件加载过程PE加载的一些核心步骤1.当PE 文件被执行时候,PE加载器首先会检查Dos 头里面的PE header 偏移,如果找到则跳转至PE header 2.PE加载器会检查PE header标志位是否有效,如果有效,则跳转至PE header尾部; 3.PE加载器会读取节表中信息,然后采用内存文件映射的方法,将这些节映射至内存,同时按照...原创 2018-04-27 10:58:46 · 221 阅读 · 0 评论 -
重定位 表(1)
1.重定位的需求:在生成程序的时候,很多涉及到地址的代码,都使用一个绝对的虚拟内存地址(这个虚拟内存地址是假设程序加载到0x400000的地方时才能够使用的),但是当程序的加载基址产生变化的时候,新的加载基址和默认的加载基址就不一样了,那些涉及到地址的代码就不能运行了,此时就需要将那些涉及到地址的代码,把他们的操作数修改(去掉默认加载基址,再加上新的加载基址)才能够使程序运行起来.2.产生重定...原创 2018-10-09 09:37:56 · 1332 阅读 · 0 评论 -
导入表与导出表
文章目录首先说几个基本问题:双桥结构解析导入表:导入表:首先说几个基本问题:1.导入表的作用是什么?没有它exe能运行么?作用:记录了一个exe或者一个dll所用到的其他模块导出的函数;所记录的信息有:用了哪些模块(用了哪些dll),用了dll的哪些函数2.导出表的作用?没有它exe能运行么?作用:记录了导出符号的地址,名称,与序号(提示:exe文件中很少有导出表的,大多数dll都有...原创 2018-10-09 10:59:04 · 7392 阅读 · 0 评论 -
一个解析PE文件的小工具(可以检测一些可疑的api)
文章目录// 003_解析导入表.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include <windows.h>DWORD RvaToOffset( IMAGE_NT_HEADERS* pNtHdr , DWORD dwRva ) { // 1. 找Rva所在的区段 // 2. 用Rva减去所在区段的首Rva ,再用减...原创 2019-01-17 20:28:24 · 845 阅读 · 0 评论 -
一个检测PE文件中的可疑api的工具
这里主要分享一下我写的一个检测PE文件中的可疑api的工具:https://github.com/richard1230/checkapitool原创 2019-01-28 20:50:00 · 418 阅读 · 0 评论