![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PE文件
PE文件学习过程中的心得与总结
王大碗Dw
志不强者智不达
成为自己小时候想象的样子!
展开
-
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址。原创 2020-05-16 11:07:15 · 2448 阅读 · 0 评论 -
PE结构:导入表中的双桥结构
导入表的知识曾经整理过,网址如下;现再对其中的双桥结构进行整理。《PE文件:导入表》:https://blog.csdn.net/weixin_43742894/article/details/105155489导入表结构:struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向INT 桥1 } D原创 2020-05-15 23:01:58 · 1139 阅读 · 1 评论 -
PE文件:常用面试知识点
PE相关简单的知识点,可能常用到的原创 2020-04-02 20:31:29 · 922 阅读 · 0 评论 -
PE文件:TLS表(线程局部储存)
PE文件学习——TLS表(线程局部存储)原创 2020-04-02 16:24:13 · 1352 阅读 · 0 评论 -
PE文件:导出表
导出表提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出表被调用。一般来说,dll都有导出表,exe都没有导出表,但是也有情况,dll没有导出表,exe有导出表。原创 2020-04-01 22:44:28 · 767 阅读 · 0 评论 -
PE文件:延迟导入表
延迟导入表从它的名字上,我们可以知道他是一种加载比较延迟的导入表,不是在一开始就被加载的,而是等到要被使用的时候,才会被延迟加载(动态加载相关链接库并修正函数的虚拟地址,实现对函数的调用)。原创 2020-04-01 22:13:36 · 501 阅读 · 0 评论 -
PE文件:绑定导入表
绑定导入表是为了加快程序的加载程序,因为正常PE加载的时候,要去检查导入表并将相关的DLL映射到进程空间地址,并将导入表的FirstThunk指向的数组填入函数的真实地址,这一步需要花费很多时间,绑定导入表就是为了解决此环节的问题,**绑定导入表中保存了导入函数的真实地址,PE加载的时候系统会检测是否有绑定导入表,就会直接将函数地址写入FirstThunk。**原创 2020-04-01 21:57:19 · 397 阅读 · 0 评论 -
PE文件:导入表
一个PE文件中的导入表,简单来说就是代表了该模块调用了哪些外部的API。导入表是逆向和病毒分析中比较重要的一个表,在分析病毒时几乎第一时间都要看一下程序的导入表的内容,判断程序大概用了哪些功能。原创 2020-04-01 18:33:39 · 1768 阅读 · 0 评论 -
PE文件:VA、RVA和FOA
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...原创 2020-03-31 23:48:06 · 5351 阅读 · 0 评论 -
PE文件:PE加载的过程
1、将PE文件从磁盘中读出2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为03、将读取的数据映射到内存中4、修复导出导入入表5、修复重定位6、跳转到PE入口点进行执行0x00 将PE文件从磁盘中读出使用ReadFile()读取数据 。0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0//获取镜像大小DWORD SizeOfIma...原创 2020-03-31 23:20:45 · 2079 阅读 · 1 评论 -
PE文件:重定位表(为什么需要重定位和如何重定位)
**为什么重定位?**重定位就是修正PE文件的地址。PE文件有着默认的基址(ImageBase默认为0x40000000),理论上当PE要加载的时候,就会占据这个地址,但是当这个地址因为一些原因,被占用而不能被加载时,PE文件就被加载到其他地方了,这时候就需要基址重定位了。原创 2020-03-31 23:02:00 · 1239 阅读 · 0 评论