![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PE文件详解
MrBai_2511
知识无价,分享是美德~
展开
-
PE文件格式解析
最近工作需要用到PE特征,就了解了这方面的东西,搜了很多东西,发现这篇帖子很全面,再对照上PE文件格式的图片,这个帖子 我看了一个小时 ,算是对PE有了一定的了解。发现,PE文件好多东西都存在着里面。接下来是正贴 在这里很感谢 这篇帖子:http://www.cnblogs.com/Bachelor/archive/2013/07/24/3210748.htmlPE文原创 2017-03-11 10:48:10 · 1839 阅读 · 1 评论 -
PE文件代码段特征码扫描 以及进程代码段扫描
好久没写博客了 今天好累 休息一下 想起来写个博客 (未加壳文件)最近在做PE文件的特征码扫描 刚开始的时候一头雾水 因为对PE文件的格式不是很了解 之前虽然看过一些PE文件的帖子 但是都是看不下去 现在针对这几天的努力 贴上我对PE文件特征码扫描的一些见解 方法和代码1、PE文件特征码扫描 a). 读文件 判断是否是PE格式的文件读文件,文件的开始原创 2017-03-16 21:27:37 · 3317 阅读 · 1 评论 -
PE文件结构详解(一)基本概念
by evil.eagle 转载请注明出处。http://blog.csdn.net/evileagle/article/details/11693499PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows转载 2017-05-11 14:29:34 · 330 阅读 · 0 评论 -
PE文件结构详解(二)可执行文件头
by evil.eagle 转载请注明出处。http://blog.csdn.net/evileagle/article/details/11903197在PE文件结构详解(一)基本概念里,解释了一些PE文件的一些基本概念,从这篇开始,将详细讲解PE文件中的重要结构。了解一个文件的格式,最应该首先了解的就是这个文件的文件头的含义,因为几乎所有的文件格式,转载 2017-05-11 14:31:08 · 383 阅读 · 0 评论 -
PE文件结构详解(三)PE导出表
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,DataDirectory中的每一项都可以用这个函数获取,函数原型如下:PVOID NTAPI RtlImageDirectoryEntryToData(PVOID Base, BOOLEAN转载 2017-05-11 14:32:45 · 261 阅读 · 0 评论 -
PE文件结构详解(四)PE导入表
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出表中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入表。也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入表有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_D转载 2017-05-11 14:34:38 · 379 阅读 · 0 评论 -
PE文件结构详解(五)延迟导入表
by evil.eagle 转载请注明出处。http://blog.csdn.net/evileagle/article/details/12718845 PE文件结构详解(四)PE导入表讲了一般的PE导入表,这次我们来看一下另外一种导入表:延迟导入(Delay Import)。看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因为有些导入函数可能使转载 2017-05-11 14:35:16 · 369 阅读 · 0 评论 -
PE文件结构详解(六)重定位
前面两篇 PE文件结构详解(四)PE导入表 和 PE文件结构详解(五)延迟导入表 介绍了PE文件中比较常用的两种导入方式,不知道大家有没有注意到,在调用导入函数时系统生成的代码是像下面这样的:在这里,IE的iexplorer.exe导入了Kernel32.dll的GetCommandLineA函数,可以看到这是个间接call,00401004这个地址的内存里保存了目的地址,根据转载 2017-05-11 14:36:02 · 330 阅读 · 0 评论