- 博客(6)
- 收藏
- 关注
RSS订阅转载 PE详解之daochubiao
当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。( 基础补充:很多朋友可能看到这里会有点懵,各位看官请允许小甲鱼啰嗦一下,照顾初学者。我们都明白Windows 在加载一个程序后就在内存中为该程序开辟一个单独的虚拟
2014-08-21 15:54:50
699
转载 Windows系统环境变量大全表
Windows系统环境变量大全表——环境变量详细信息%ALLUSERSPROFILE%所有用户 Profile 文件位置%APPDATA%应用程序数据的默认存放位置%CD%当前目录%CLIENTNAME%
2014-08-19 16:22:32
622
转载 PE文件的加载和修改
一、 Windows加载器加载器读取一个PE文件的过程如下:1. 先读入PE文件的DOS头,PE头和Section头。2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定义的数据来修改所映射
2014-08-18 15:29:10
3286
转载 PE文件之miansha
首先来简单了解一下杀毒软件查杀病毒的原理,当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法。其中前一个比较方法古老,又分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义一段病毒特征码到病毒库中,然后与扫描的文件比对,如果一致则认为是病毒,内存查杀则是载入内存后再比对,第二个比较新,它利用的原理是某些特定的病毒会有某些特定的行为,来监测病毒。免杀常用
2014-08-18 14:21:40
1152
转载 LNK1123: 转换到 COFF 期间失败: 文件无效或损坏
连接器LNK是通过调用cvtres.exe完成文件向coff格式的转换的,所以出现这种错误的原因就是cvtres.exe出现了问题。在电脑里面搜索一下cvtres.exe,发现存在多个文件,使用最新的cvtres.exe替换老的文件即可,替换之前记得备份一下,如果不对,可以替换回来。例如:我的电脑里面安装了vs2010,最近更新了系统,打了一些补丁,结果就出
2014-08-07 14:02:18
519
转载 规则dll
分为两类: (1)静态链接到MFC的规则DLL 静态链接到MFC的规则DLL与MFC库静态链接,将MFC库的代码直接生产在.dll文件中。在调用这种DLL的接口时,MFC使用DLL的资源。因此,在静态链接到MFC的规则DLL中不需要进行模块状态的切换。 使用这种方法生成的规则DLL其程序较大,也可能包含重复的代码。 (2)动态链接到MFC的规则DLL 动态链接到
2014-08-06 16:17:34
814
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人