PE结构之 重定位表

已于 2024-10-10 23:48:16 修改
阅读量344 收藏 3
点赞数 1
分类专栏: PE格式学习 文章标签: windows PE c
于 2024-10-10 03:35:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43751677/article/details/142799424
版权

 那么,我们找到了某个 需要修改的绝对地址 的RVA,  将这个RVA转换成FOA后,这个绝对地址是读DWORD ,还是QWORD?  就是说,32位和64位是否有区别?

实验: 找到重定位表的数据,并观察在内存中和文件中的区别

将引用dll的exe文件,设置一下基址
 
同时DLL文件的基址和EXE文件设置一样,并且关闭随机基址,目的是为了让dll文件的需要重定位的绝对地址发生改变
 

打开调试器,在内存布局中可以看到这个dll文件没有抢到 它应该在的imagebase
 

打开PE工具,随便找一个重定位表 中的数据
 

通过简单的计算,我们在调试器中的内存窗口中找到 这个位置
 

可以看到绝对地址被修改了

得到某个需要修正绝对地址(就是文件中的数据)的RVA 后,
32位读取4字节  64位程序读取8字节  就是文件中这个绝对地址的数据.
上图是操作系统 修复了重定位表,如果我们自己加载,就需要按照上面的计算方式手工修复重定位表的数据

 代码遍历重定位表:

以下的代码 是垃圾

//打印所有的重定位表
void PrintReloc(__in char* m_fileName)
{
	char* Filebuffer = NULL;
	if (!GetFileBuffer(m_fileName, &Filebuffer)) return ;

	PIMAGE_DOS_HEADER LPdosHeader = NULL;
	LPdosHeader = (PIMAGE_DOS_HEADER)Filebuffer;
	PIMAGE_OPTIONAL_HEADER32 LPoptioinHeader32 = NULL;//暂时使用32位的,因为我只需要确定一下,是32位程序还是64位程序
	LPoptioinHeader32 = (PIMAGE_OPTIONAL_HEADER32)((char*)LPdosHeader + LPdosHeader->e_lfanew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER));
	
	PIMAGE_DATA_DIRECTORY LPdataDir = NULL;
	/*判断64位程序还是32位程序*/
	if (LPoptioinHeader32->Magic == 0x10b)
	{
		//如果是32位的程序
		LPdataDir = (PIMAGE_RELOCATION)((char*)LPoptioinHeader32 + 136);
	}
	else
	{
		//如果是64位的程序
		LPdataDir = (PIMAGE_RELOCATION) ((char*)LPoptioinHeader32 + 152);//借用一下可选头的指针
	}
	//64位和32位的程序 只是定位的时候不一样,上面的 136 和152 可以在微软的官网查询到,
	//或者可以这样,但我觉得不太好理解
	if (LPoptioinHeader32->Magic == 0x10b)
	{
		//如果是32位的程序
		LPdataDir = (PIMAGE_RELOCATION)(&LPoptioinHeader32->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]);
	}
	else
	{
		//如果是64位的程序
		PIMAGE_OPTIONAL_HEADER64 LPoptioinHeader64 = (PIMAGE_OPTIONAL_HEADER64)((char*)LPdosHeader + LPdosHeader->e_lfanew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER));
		LPdataDir = (PIMAGE_RELOCATION)(&LPoptioinHeader64->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]);
	}
	
	/* 通过数据目录表 中的virtual address  转换成FOA ,加上文件buffer指针,就可以找到现在内存中的 第一个 重定位块*/
	PIMAGE_BASE_RELOCATION LPfirstRelc = NULL;
	DWORD Characteristics = 0;//获得一下重定位表 所在的节区属性
	LPfirstRelc = (PIMAGE_BASE_RELOCATION)((char*)LPdosHeader + RVAToFOAEX(LPdosHeader, LPdataDir->VirtualAddress,&Characteristics));
	
	PIMAGE_BASE_RELOCATION LPcurrentRelc = LPfirstRelc;//我希望LPfirstRelc 指针不要发生变化,后面还需要使用
	int i = 0;
	PWORD WPtypeAndOffset = NULL;//数据的类型 和页内偏移指针

	while (LPcurrentRelc->SizeOfBlock!=0 && LPcurrentRelc->VirtualAddress!=0)//如果都为0说明重定位块的结束
	{
		int PageOffsetCount = (LPcurrentRelc->SizeOfBlock - sizeof(DWORD) * 2) /sizeof(WORD);//块的“页面 RVA”字段中所指定起始地址的偏移量 的数量
		UINT64 FOA = (char*)LPcurrentRelc - (char*)LPdosHeader;//重定位块在文件中的位置.

		printf("[%d]-FOA:0x%llx PageRVA:0x%x BlockSize:0x%x PageOffsetCount:%d \n", i, FOA, LPcurrentRelc->VirtualAddress, LPcurrentRelc->SizeOfBlock, PageOffsetCount);
		
		WPtypeAndOffset = (PWORD)((char*)LPcurrentRelc + sizeof(DWORD) * 2);//指针越过IMAGE_BASE_RELOCATION结构,指向第一个页内偏移
		for (size_t j = 0; j < PageOffsetCount; j++)
		{
			
			byte type =(byte) ((*WPtypeAndOffset) >> 12);//类型
			WORD PageOffset = (*WPtypeAndOffset) & 0XFFF;//去掉高4位

			printf("\t [%d]-value:0x%x type:0x%x PageOffset:0x%x \n", j,*WPtypeAndOffset, type, PageOffset);
			if (type == IMAGE_REL_BASED_DIR64 )
			{
				//64位
				DWORD RelocRVA = LPcurrentRelc->VirtualAddress + PageOffset;//需要修正的绝对地址的RVA
				DWORD ModifyFOA = RVAToFOA(LPdosHeader, RelocRVA);//需要修正的绝对地址,在文件中的位置
				UINT64 ObAdress = *((UINT64*)((char*)LPdosHeader + ModifyFOA));//读一下哪个绝对地址要修正
				printf("\t ModifyFOA=0x%x RelocRVA=0x%x ObAdress=0x%llx\n", RelocRVA, ModifyFOA, ObAdress);

			}
			else if(type == IMAGE_REL_BASED_HIGHLOW)
			{
				//32位
				DWORD RelocRVA = LPcurrentRelc->VirtualAddress + PageOffset;//需要修正的绝对地址的RVA
				DWORD ModifyFOA = RVAToFOA(LPdosHeader, RelocRVA);//需要修正的绝对地址,在文件中的位置
				UINT32 ObAdress = *((UINT32*)((char*)LPdosHeader + ModifyFOA));//读一下哪个绝对地址要修正
				printf("\t ModifyFOA=0x%x RelocRVA=0x%x ObAdress=0x%x\n", ModifyFOA,RelocRVA, ObAdress);

			}
			WPtypeAndOffset++;
		}
		LPcurrentRelc = (PIMAGE_BASE_RELOCATION)((char*)LPcurrentRelc + LPcurrentRelc->SizeOfBlock);//指针跳到下一个表
		i++;//用于统计,无意义
	}
}

移动重定位表:
 

  • 清晰划分32位与64位逻辑,避免指针混用。
  • 加强内存管理,确保出错时释放已分配的资源。
  • 优化对齐计算和节表处理,确保数据正确对齐。
  • 增加错误处理和日志记录,便于调试和维护。
  • 改进代码结构和命名,提高可读性。

    我愿称以下代码为垃圾
//移动重定位表
BOOL RemoveReloc(__in char* m_fileName)
{
	char* Filebuffer = NULL;
	if (!GetFileBuffer(m_fileName, &Filebuffer)) return FALSE;
	PIMAGE_DOS_HEADER LPdosHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 LPoptioinHeader32 = NULL;//暂时使用32位的,因为我只需要确定一下,是32位程序还是64位程序
	PIMAGE_SECTION_HEADER LPfirstSectionHeader = NULL;//第一个节表的指针
	PIMAGE_SECTION_HEADER LPlastSectionHeader = NULL;//最后一个节表的指针,为了计算新节区的 virtual address
	PIMAGE_DATA_DIRECTORY LPdataDirOfreloc = NULL;

	LPdosHeader = (PIMAGE_DOS_HEADER)Filebuffer;
	PIMAGE_FILE_HEADER LPfileHeader = (PIMAGE_FILE_HEADER)((char*)LPdosHeader + LPdosHeader->e_lfanew + sizeof(DWORD));
	LPoptioinHeader32 = (PIMAGE_OPTIONAL_HEADER32)((char*)LPdosHeader + LPdosHeader->e_lfanew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER));

	// 1.定位到 重定位表
	UINT sizeNeedRemoveOfHeader = 0;//顺便计算一下,如果需要删除dos stub , nt头和节表 的大小
	//64位和32位的程序 只是定位的时候不一样
	if (LPoptioinHeader32->Magic == 0x10b)
	{
		//如果是32位的程序
		LPdataDirOfreloc = (PIMAGE_RELOCATION)(&LPoptioinHeader32->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]);
		LPfirstSectionHeader =(PIMAGE_SECTION_HEADER)((CHAR*)LPoptioinHeader32 + sizeof(IMAGE_OPTIONAL_HEADER32));
		sizeNeedRemoveOfHeader = sizeof(IMAGE_OPTIONAL_HEADER32) + sizeof(IMAGE_SECTION_HEADER) * LPfileHeader->NumberOfSections;
	}
	else
	{
		//如果是64位的程序

		PIMAGE_OPTIONAL_HEADER64 LPoptioinHeader64 = (PIMAGE_OPTIONAL_HEADER64)((char*)LPdosHeader + LPdosHeader->e_lfanew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER));
		LPdataDirOfreloc = (PIMAGE_RELOCATION)(&LPoptioinHeader64->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]);
		LPfirstSectionHeader = (PIMAGE_SECTION_HEADER)((CHAR*)LPoptioinHeader32 + sizeof(IMAGE_OPTIONAL_HEADER64));
		sizeNeedRemoveOfHeader = sizeof(IMAGE_OPTIONAL_HEADER64) + sizeof(IMAGE_SECTION_HEADER) * LPfileHeader->NumberOfSections;
	}
	LPlastSectionHeader = (PIMAGE_SECTION_HEADER)((CHAR*)LPfirstSectionHeader + sizeof(IMAGE_SECTION_HEADER) * (LPfileHeader->NumberOfSections - 1));

#pragma region 计算重定位表的大小
	PIMAGE_BASE_RELOCATION LPfirstRelc = NULL;
	DWORD Characteristics = 0;//获得一下重定位表 所在的节区属性
	LPfirstRelc = (PIMAGE_BASE_RELOCATION)((char*)LPdosHeader + RVAToFOAEX(LPdosHeader, LPdataDirOfreloc->VirtualAddress, &Characteristics));
	PIMAGE_BASE_RELOCATION LPcurrentRelc = LPfirstRelc;//我希望LPfirstRelc 指针不要发生变化,后面还需要使用
	//2.遍历得到重定位表块的大小
	UINT relocsBlockSize = 0;
	while (LPcurrentRelc->SizeOfBlock != 0 && LPcurrentRelc->VirtualAddress != 0)
	{
		relocsBlockSize += LPcurrentRelc->SizeOfBlock;
		LPcurrentRelc = (PIMAGE_BASE_RELOCATION)((char*)LPcurrentRelc + LPcurrentRelc->SizeOfBlock);//指针跳到下一个表
	}
	//最后加上全0结构结尾的大小
	relocsBlockSize += sizeof(LPcurrentRelc->SizeOfBlock) + sizeof(LPcurrentRelc->VirtualAddress);
#pragma endregion


#pragma region 计算移动重定位表需要 的文件内存大小 ,用于填写新节区的 sizeofRawdata
	DWORD newSectionSizeOfRawData = 0;
	if (relocsBlockSize % LPoptioinHeader32->FileAlignment == 0)
	{
		//是文件对齐的整数倍
		newSectionSizeOfRawData = relocsBlockSize;
	}
	else
	{
		newSectionSizeOfRawData = (relocsBlockSize / LPoptioinHeader32->FileAlignment + 1) * LPoptioinHeader32->FileAlignment;
	}
#pragma endregion

#pragma region 用于计算 移动重定位表时,新增节 的内存对齐大小
	DWORD newSizeOfImage = 0;
	if (newSectionSizeOfRawData % LPoptioinHeader32->SectionAlignment == 0)
	{
		newSizeOfImage = LPoptioinHeader32->SizeOfImage + newSectionSizeOfRawData;
	}
	else
	{
		newSizeOfImage= LPoptioinHeader32->SizeOfImage+(newSectionSizeOfRawData / LPoptioinHeader32->SectionAlignment + 1) * LPoptioinHeader32->SectionAlignment ;
	}
#pragma endregion


#pragma region 计算新节表的virtual Adress 和pointtorawdata
	DWORD newSectionVirtualAddress = 0;
	DWORD max = LPlastSectionHeader->Misc.VirtualSize > LPlastSectionHeader->SizeOfRawData ? LPlastSectionHeader->Misc.VirtualSize : LPlastSectionHeader->SizeOfRawData;
	if (max % LPoptioinHeader32->SectionAlignment == 0)
	{
		newSectionVirtualAddress = LPlastSectionHeader->VirtualAddress +max;
	}
	else
	{
		newSectionVirtualAddress = LPlastSectionHeader->VirtualAddress+(max / LPoptioinHeader32->SectionAlignment + 1) * LPoptioinHeader32->SectionAlignment ;
	}

	DWORD newSectionPointToRawData = LPlastSectionHeader->PointerToRawData+LPlastSectionHeader->SizeOfRawData;
	 
#pragma endregion

	PIMAGE_SECTION_HEADER LPnewSectionHeader = (PIMAGE_SECTION_HEADER)((char*)LPlastSectionHeader+sizeof(IMAGE_SECTION_HEADER));
	
	BOOL isok = FALSE;//用于最终确定
	BOOL isZero = TRUE;//用于是否80字节为0
	//循环看一下是不是可以包含2个全0 的节表结构 ,就是80个字节是不是全0
	PULONG64 tempPoint = (PULONG64)LPnewSectionHeader;
	//这里借用一下32位的结构体,64位这里的偏移相同
	if (LPoptioinHeader32->SizeOfHeaders - ((CHAR*)LPnewSectionHeader - (CHAR*)LPdosHeader) >= 80)
	{
	
		//如果大于80字节,但是我还需要遍历这80字节是否有数据,
		
		for (size_t i = 0; i < 80/8; i++)
		{
			if (*(PULONG64)tempPoint != 0)
			{
				isZero = FALSE;
				break;
			}
			tempPoint++;
		}
		if (!isZero)
		{
			isok = FALSE;
		}
		else
		{
			isok = TRUE;
		}
	}
	//先修改一个节的数量,因为下面要开始修改指针了,这样头部的指针将失效
	LPfileHeader->NumberOfSections += 1;
	if (!isok)
	{
		
	/*---------------------------------------------
	* 说明可能塞得下,但是有数据,不能使用
	* 将dosstub的数据删除,将NT头提升上来
	* 按道理还要确定一下去掉dosstub后,能不能塞进来一个新的节表,我想偷懒了
	----------------------------------------------*/
		void* source = (VOID*)((CHAR*)LPdosHeader + LPdosHeader->e_lfanew);
		void* dest = (VOID*) ((CHAR*)LPdosHeader + sizeof(IMAGE_DOS_HEADER));
		memcpy(dest, source, sizeNeedRemoveOfHeader);
		LPdosHeader->e_lfanew = sizeof(IMAGE_DOS_HEADER);
		LPnewSectionHeader = (char*)LPnewSectionHeader - ((char*)dest - (char*)source);//重新定位 新节表的指针
	}
	//不要再使用头部的指针
	RtlZeroMemory(LPnewSectionHeader, sizeof(IMAGE_SECTION_HEADER) * 2);
	LPnewSectionHeader->Characteristics = Characteristics;
	LPnewSectionHeader->PointerToRawData = newSectionPointToRawData;
	LPnewSectionHeader->SizeOfRawData = newSectionSizeOfRawData;
	LPnewSectionHeader->VirtualAddress = newSectionVirtualAddress;
	LPnewSectionHeader->Misc.VirtualSize = newSectionSizeOfRawData;
	CHAR name[8] = "ABC";
	strcpy_s(LPnewSectionHeader->Name,8, name);
	//修改目录项中重定位表的virtual address
	LPdataDirOfreloc->VirtualAddress = LPnewSectionHeader->VirtualAddress;
	//修改可选头中的sizeofimage

	LPoptioinHeader32->SizeOfImage += newSizeOfImage;


	//4.重新申请内存
	ULONGLONG fileSize = 0;
	fileSize = LPlastSectionHeader->PointerToRawData + LPlastSectionHeader->SizeOfRawData + newSectionSizeOfRawData;
	char* newFileBuffer = malloc(fileSize);
	if (newFileBuffer == NULL)
	{
		perror("申请新内存失败");
		return FALSE;
	}
	RtlZeroMemory(newFileBuffer, fileSize);
	memcpy(newFileBuffer, Filebuffer, fileSize- newSectionSizeOfRawData);//复制内存
	
	//将原来的重定位表清空  .....

	//将原来的重定位表复制到新节的头部
	char* CPnewSectionData = newFileBuffer + newSectionPointToRawData;
	memcpy(CPnewSectionData, LPfirstRelc, relocsBlockSize);
	free(Filebuffer);

	StoringFile("E:\\win32Api\\源代码\\基础篇代码-配套资源\\Chapter9\\DialogBoxProgram\\Debug\\测试miscxxx.exe", newFileBuffer, fileSize);
}

 

我代码抄都抄不明白
关注
专栏目录
PE文件结构详解
leolewin的博客
08-23 2918
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0
2.10 PE结构:重建重定位结构
CSDN
09-09 4691
Relocation(重定位)是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中,由于程序中使用了各种全局变量和函数,这些变量和函数的地址还没有确定,因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时,这些相对地址需要被修正为实际的绝对地址,这个过程就是重定位。 在Windows操作系统中,程序被加载到内存中运行时,需要将程序中的各种内存地址进行重定位,以使程序能够正确地运行。Windows系统使用PE(Portable Executable)文件格式来存储可执行程
2.7 PE结构重定位详细解析
热门推荐
CSDN
09-07 1万+
重定位(Relocation Table)是Windows PE可执行文件中的一部分,主要记录了与地址相关的信息,它在程序加载和运行时被用来修改程序代码中的地址的值,因为程序在不同的内存地址中加载时,程序中使用到的地址也会受到影响,因此需要重定位这个数据结构来完成这些地址值的修正。
PE_修正重定位
qq_42363151的博客
09-25 355
PE
arcengine遍历属性_【原创】upx脱壳重定位修复
weixin_39612297的博客
11-25 170
作者论坛账号:psycongroo前言一个风和日丽的下午,鸟儿在枝头高唱,花儿在草中盛放,而我,在电脑前暴怒。本来满怀欣喜的脱了个简单的upx壳,没想到却让我暴跳如雷。“这是什么啊,怎么用了官方的脱壳命令还运行不了。”对自己发自灵魂的拷问,再一次从旁印证,菜,真的是菜的抠脚。于是乎我疯狂点击x32dbg,那一瞬间我以为我疯了,自己反编译调试自己的代码,这总感觉有点令人抓狂。在一两下的F9...
修改IMAGEBASE修复重定位
qq_52442096的博客
02-07 241
【代码】修改IMAGEBASE修复重定位
Windows PE结构 修复重定位地址的详细具体步骤
qq_27814223的博客
07-24 405
因此,在进行重定位操作后,还需要确保可执行文件的映射范围足够容纳修复后的地址。当将可执行文件的ImageBase从0x400000修改为0x500000时,需要进行重定位(relocation)操作来修复程序中涉及到ImageBase的地址引用。Windows pe 重定位 重定位修复 重定位修复 重定位修复方法重复步骤3到步骤6,直到遍历完所有的重定位项。将原地址加上新的ImageBase与原ImageBase的差值,得到修复后的地址。重定位项中记录了需要修复的地址的偏移量。
PE结构重定位的分析.rar
01-10
这个压缩包文件“PE结构重定位的分析.rar”似乎提供了关于这个主题的深入学习资料,包括一个DLL示例、PElord工具以及相关文档说明。 重定位是在PE文件中用于处理程序在不同地址运行时可能出现的问题。当...
pe 文件编程:清除文件头中的重定位.rar_pe_清楚重定位
09-21
综上所述,“清除文件头中的重定位”是一项涉及PE文件结构修改的高级技术,它适用于特定的场景和需求。在进行此类操作时,必须充分了解其背后的原理和潜在风险,以免对程序的正常运行造成影响。
PE结构重定位
SMOne
06-30 1831
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 八、资源 九、重定位 1.概念 重定位 存的是PE文件中需要修改(变量数据)的地址的位置。 全局变量和局部静态变量在PE文件数据段中。 程序代码在寻址这些变量时,用的不是偏移RVA,而是直接地址VA。 2.使用规则 我们知道VA=基址+RVA,而基址默认是...
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
PE重定位练习
10-07
总的来说,"PE重定位练习"是一个深入学习Windows程序加载机制的过程,涵盖了PE文件结构重定位原理、以及利用工具进行分析的技巧。通过这样的实践,不仅可以增强对操作系统工作原理的理解,也有助于提升逆向工程和...
笔记:PE结构(7)重定位解析
Q324411601的博客
09-03 229
笔记:PE解析(7)重定位
pe 重定位修正 作用学习笔记
黑子风暴
05-28 199
.windpws系统 exe 文件 中的重定位 重定位一般应用在DLL中 举例: 1.exe 加载2个DLL a.dll =内存地址 0x1000000 第二个载入 分配内存 b.dll =内存地址 0x2000000 1.exe call 2000001 调用 意思是调用b.dll中的函数 但是 b.dll 中存在一个call 0x1000001 硬编码 绝对地址 b.dll 加载到内存中2000000 本应该是call 0x2000001 但是在
重定位,IAT修复引起的大脑风暴
独孤龙城的专栏
07-29 2834
因为刚学PE没多久,所以今晚上进入了一个误区,第一个,重定位重定位的是哪些信息,第二个,IAT修复重定位有什么关系。 通俗的说,重定位里面记录的就是写死了的数据,比如call 一个地址(一串数字),在基址加载进内存后,不是我们所期待的镜像基址后,这些地址就变成了野指针,这时候就需要重定位进行重定位。 IAT修复重定位有啥关系呢,答案是,没有关系,在加载进内存前,FirstThunk和
滴水逆向三期实践15:根据重定位修正地址
Rivival_S 的博客
10-28 2612
占坑
PE文件解析--重定位
qq_31125257的博客
12-22 558
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
移动导出重定位,手动修复重定位
最新发布
pluginL的博客
04-04 229
要写这几个函数会频繁用到FOA转VA。
PE文件编程技巧:移除重定位以优化性能
资源摘要信息:"PE 文件编程:清除文件头中的重定位" 知识点: 1. PE 文件格式:PE(Portable Executable)是Windows操作系统中用于可执行文件、目标代码、动态链接库(DLL)和对象文件的文件格式。这种格式被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值