![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
逆向
丸子头
这个作者很懒,什么都没留下…
展开
-
PE详解之daochubiao
当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。( 基础补充:很多朋友可能看到这里会有点懵,各位看官请允许小甲鱼啰嗦一下,照顾初学者。我们都明白Windows 在加载一个程序后就在内存中为该程序开辟一个单独的虚拟转载 2014-08-21 15:54:50 · 686 阅读 · 0 评论 -
PE文件的加载和修改
一、 Windows加载器加载器读取一个PE文件的过程如下:1. 先读入PE文件的DOS头,PE头和Section头。2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定义的数据来修改所映射转载 2014-08-18 15:29:10 · 3255 阅读 · 0 评论 -
PE文件之miansha
首先来简单了解一下杀毒软件查杀病毒的原理,当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法。其中前一个比较方法古老,又分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义一段病毒特征码到病毒库中,然后与扫描的文件比对,如果一致则认为是病毒,内存查杀则是载入内存后再比对,第二个比较新,它利用的原理是某些特定的病毒会有某些特定的行为,来监测病毒。免杀常用转载 2014-08-18 14:21:40 · 1138 阅读 · 0 评论 -
IDA文件目录简介
IDA的可执行文件 idag.exe:IDA的Windows GUI版本。从6.2开始,IDA中不在包含该文件。 idaq.exe:IDA6.0或更新版本的Windows Qt GUI版本。 idaw.exe:IDA的Windows文本模式版本。随着IDA6.0开始采用Qt跨平台GUI库,IDA的原始windows版本(idag.exe)已被废弃,将转载 2014-12-08 23:18:46 · 1890 阅读 · 0 评论