PE
yu_sn0w
这个作者很懒,什么都没留下…
展开
-
GDT 表与段选择子等解析
全局描述表(GDT Global Descriptor Table):在保护模式下一个重要的数据结构。GDT可以被放在内存的任何位置,那么当程序员通过段寄存器来引用一个段描述符时,CPU必须知道GDT的入口,也就是基地址放在哪里,所以Intel的设计者门提供了一个寄存器GDTR用来存放GDT的入口地址,程序员将GDT设定在内存中某个位置之后,可以通过LGDT指令将GDT的入口地址装入此寄存器,从此以后,CPU就根据此寄存器中的内容作为GDT的入口来访问GDT了。GDT是保护模式所必须的数据结构,也是唯一原创 2020-09-17 15:05:11 · 1673 阅读 · 0 评论 -
多种DLL注入技术原理介绍
转载自:[翻译]多种DLL注入技术原理介绍Git 地址https://github.com/fdiskyou/injectAllTheThings转载 2020-07-15 16:52:16 · 225 阅读 · 0 评论 -
PE 文件总体结构概述
前面多篇文章讲了PE文件格式,导入导出表的解析。这里新开一篇来作为总结,或者说作为最开始的概述。本文以 kernel32.dll 为例。使用工具 PEView.exe 查看如下:可以看到其主要分成几个部分:1: Dos 头,IMAGFE_DOS_HEADER 长度 0x402: Dos Stub 。3: NT Header 起始位置由 Dos头中最后一个字段指定。4: 连续...原创 2020-03-06 11:22:25 · 353 阅读 · 0 评论 -
PE文件和COFF文件格式分析——导入表
因为之前已经介绍了PE基本格式已经导出表相关,因此一些基本的东西就直接省略,用工具直接定位。本次以 kernel32.dll 为例,查看其导入表。首先用 Stud_PE.exe 查看导入表的位置如下:也就是在文件的地址 0x084c88。跳过去看看,以红线开始查看导入表定义:typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { ...原创 2020-03-05 17:19:38 · 351 阅读 · 0 评论 -
PE文件和COFF文件格式分析——导出表
回顾前文 PE文件和COFF文件格式分析(1),并以典型的 msvcp80.dll 来分析。文件最开始是一个0x40字节的结构。typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp;...转载 2020-03-03 16:54:42 · 718 阅读 · 0 评论 -
PE文件和COFF文件格式分析(1)
本文主要来自相关系列博文(breaksoftware的csdn博客 https://blog.csdn.net/breaksoftware/article/details/7710323)。自己,稍微调整,整理。MS 2.0节是PE文件格式中第一个“节”。其大致结构如下:在VC\PlatformSDK\Include\WinNT.h文件中有对MS-DOS 2.0兼容EXE文件头的完整定义...转载 2020-02-28 10:52:29 · 916 阅读 · 0 评论