PE格式学习
关注
分享
扫一扫
文章平均质量分 50
我代码抄都抄不明白
联系方式:1490900437
展开
-
DLL文件必知必会
未完全完成文档,原创 2024-10-14 22:37:21 · 113 阅读 · 0 评论 -
PE结构之绑定导入表
IAT 中的 IMAGE_THUNK_DATA 结构将被导入函数的实际地址覆盖。加载绑定的可执行文件时,Windows 加载程序可以绕过查找每个导入的 API 并将其写入 IAT 的步骤。IAT 表中的数据,在文件中可能已经不和INT表一样了,已经保存了需要导入的函数的VA(内存地址或者说绝对地址). 如果IMAGE_IMPORT_DESCRIPTOR结构(导入表的结构)中的。TimeDateStamp==0 ,表示 没有绑定 ,如果为-1,说明已经绑定,这时 IAT表的数据已经是导入函数的VA了。原创 2024-10-12 23:01:53 · 245 阅读 · 0 评论 -
PE结构之导入表
如果某个导入表的时间戳==-1 ,请查看。原创 2024-10-11 23:59:48 · 388 阅读 · 0 评论 -
PE结构之 重定位表
那么,我们找到了要某个绝对地址 需要修改的RVA, 将这个RVA转换成FOA后,这个绝对地址是读DWORD ,还是QWORD?就是说,32位和64位是否有区别?原创 2024-10-10 03:35:43 · 342 阅读 · 0 评论 -
PE结构之导出表
根据函数地址表遍历函数名称RVA表,和上面的图是逆过程。原创 2024-10-09 21:37:13 · 303 阅读 · 0 评论 -
DLL中函数导出时的注意事项
1.1示例代码:使用stdcall 关键字 和 extern "C" 关键字修饰 dll中函数1.2新创建*.def文件1.3在项目属性,链接器 输入 模块定义文件中输入def文件名1.4创建一个.h文件 写入dll中的函数声明1.5使用dll中的函数注意事项:extern "C" 是c++的特性,如果提示 "请输入表示符" ,请确定你的引用这个dll的文件是 cpp文件,或者。原创 2024-10-09 21:23:05 · 240 阅读 · 0 评论 -
PE节表中是否存在misc.VirtualSize 比SizeofRawData还要大的情况
确实是存在的,这是win10自带记事本,可以看到 确实是大.所以在申请imagebuffer的时候,还是需要比较大小.但是在还原的时候.只考虑sizeofRawData即可>原创 2024-09-30 22:00:25 · 221 阅读 · 0 评论 -
PE文件之 拉伸到恢复
【代码】PE文件之 拉伸到恢复。原创 2024-09-30 20:33:53 · 96 阅读 · 0 评论