PE文件
shitdbg
这个作者很懒,什么都没留下…
展开
-
CFF Explorer实现Windows 7下API HOOK
关于API HOOK,就是截获API调用的技术,在对一个API调用之前先执行自己设定的函数,根据需要可以再执行缺省的API或者进行其他处理,假设如果想截获一个进程对网络的访问,一般是几个socket api:recv,recvfrom, send, sendto等等,当然你可以用网络抓包工具,这里只介绍通过API HOOK的方式来实现,最基本的有两种方法:1.修改原函数的入口地址,就是修改PE文件转载 2015-11-09 20:22:40 · 1867 阅读 · 0 评论 -
相对虚拟地址,虚拟地址,文件偏移地址
相对虚拟地址(RVA,Relative Virtual Address),RVA只是内存中的一个简单相对于PE文件装入地址的偏移位置,它是一个“相对地址”,或称“偏移量”。例如,假设一个PE文件从地址400000h处装入,并且它的代码节开始于401000h,代码节的RVA将是:目标地址401000h - 装入地址400000h = RVA 1000h。PE文件中出现RVA的概念是因为PE的原创 2015-11-06 14:17:19 · 4458 阅读 · 0 评论 -
PE文件格式分析
一、PE的基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。 认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏原创 2015-11-09 08:52:29 · 8285 阅读 · 1 评论