PE文件格式
INT31
逆向小白 希望和大家一起学习,qq:1041259928
展开
-
PE格式DOS,PE,OPTIONPE笔记
这里只列出需要重点记忆的,完整的需要用到再去查阅,加粗的就是非常重要的DOS头作用WORD e_magic"MZ标记" 用于判断是否为可执行文件,值为0x5A4DDWORD e_lfanewPE头相对于文件的偏移,用于定位PE文件,在文件开始偏移3CH处标准PE头作用WORD Machine程序运行的CPU型号:0x0 任何处...原创 2019-02-27 22:46:20 · 248 阅读 · 0 评论 -
PE文件格式完整图
看着有点头疼,放大慢慢看原创 2019-02-27 15:53:10 · 2545 阅读 · 0 评论 -
PE-节表
windowns.h下的定义name:8个字节 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义misc:没有对齐前的真实大小,但是这个值可以不准确,可以人为修改VirtualAddress:内存中的偏移地址,加上imagebase就是内存中真正的地址SizeofRawData:节在文件中对齐后的大小PointerToRawData 节区在文件中的偏移Po...原创 2019-03-02 21:27:36 · 473 阅读 · 0 评论 -
PE-重定位
基址重定位表该表在一个.reloc区块内,通过数据目录表可以找到他,他的结构如下3个成员:ViryualAddress DWORD 重定位数据开始的RVASizeOfBlock DWORD 重定位块的长度,-8h再/2h就是有几个重定位数据TypeOffset WORD 重定位项数组,高4位代表类型(0无意义,3表示指向的整个地址都需要修正,10在64位...原创 2019-03-12 14:45:24 · 139 阅读 · 0 评论 -
PE——向空白节添加代码
初学这个部分,记下一个简单列子,后面再补充其他成分向一个程序添加一个对话框,让这个程序在执行的时候,先执行我们加入的对话框思路:在代码节的空白区域添加我们要加入的代码,因为代码节的属性就是可读可写可执行,添加到其他节需要自己修改属性,E8 和E9 两个硬编码分别是call和jump 都是跟4个字节的指令,设这4字节为X,这个X=程序真正要跳转的地址减去指令下一条指令的地址6A是push指...原创 2019-03-13 12:12:25 · 610 阅读 · 0 评论