PE文件格式分析 一、MS-DOS头部DOS MZ头看个实例： DOS Stub看个实例： 二、PE文件头看个实例：IMAGE_NT_HEADERS（NT映像头）Signature看个实例：IMAGE_FILE_HEADER看个实例： IMAGE_OPTIONAL_HEADER3…

本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还是需要用到《驱动开发&#x…

个人博客：coonaa.cn 【本文博客同步地址】 一. 基本概念 1.1 可执行文件 文件格式 文件格式规定了文件在电脑中的存储格式。 不同的存储格式，按照不同的数据结构，保存不同类型的文件，文件格式与操作系统有关。 可执行文件 可以…

(内容未全部完成) 简介: PE（ Portable Execute）文件是Windows下可执行文件的总称，常见的有 DLL，EXE，OCX，SYS 等。它是微软在 UNIX 平台的 COFF（通用对象文件格式）基础上制作而成。…

在笔者上一篇文章《驱动开发：内核解析PE结构导出表》介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中LyShark封装实现了K…

1. 概述 PE文件的全称是Portable Executable，意为可移植的可执行的文件，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件（可能是间接被执行，如DLL）。它是1993年Windows …

PE格式定义的主要地方位于我们的头文件winnt.h，这个头文件中几乎能找到关于PE文件的所有定义。   在很多编译器、调试器中都会带有这个头文件，如VC6.0、codeblocks、Ollydbg等，在自己的电脑上一搜就有好多个。   整个的头文件winnt.h代码…

在笔者上一篇文章《驱动开发：内核特征码搜索函数封装》中为了定位特征的方便我们封装实现了一个可以传入数组实现的SearchSpecialCode定位函数，该定位函数其实还不能算的上简单，本章LyShark将对特征码定位进行简化，让定位变得更简…

用Python生成一个PE文件，主要是为了学习PE格式，因为看很多红队工具的原理都要掌握这个，这篇文章主要是记录调试代码的过程。 主要使用的是Python3。 有关PE的文件结构描述，之前写过一个简短的对每个字段的描述 描述pe格式的主要地方是winnt.h，其中有一节叫做Image Format…

签到 题目来源 CTFshow-菜狗杯-Crypto 题目密文 63746673686f777b77656c636f6d655f325f636169676f755f6375707d 题目考点 十六进制串转字符 解题过程 观察密文，像是base16或字符的十六进制序列 采用CTF编码工具进行十六进制转字符，得到答案 ctfshow{welcome_2_caigou…

初步分析 本题是驱动的修复及调试……(:з」∠) 拿到sys文件，发现是PE格式，于是直接IDA反编译 沿着DriverEntry向里查找，发现这里 这里创建了硬件设备对象和符号链接并传入DriverObject MajorFunction就很明显了 PDRIVER_DISPATCH MajorFunct…

这个学期终于圆了当年来读渣电的网络安全专业的一个梦：PE病毒编写。 想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解，可是搞到后面很多东西不理解做的不深入，所以就先一本心思的考上渣电，然后再来深入的学习一下PE的相关。 后…

目的：使用一个具体例子查询输入表的真实模样；notepad.exe加载到内存时，查询输入表的INT，用这个INT中的函数名对应的真实地址填充notepad.exe内存中IAT的过程；PE文件装在完后，通过IAT就可以找到函数在内存中…

PE简介 PE文件衍生于早期建立的COFF文件格式,EXE和DLL文件实际上用的是同一种文件格式，唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。64位Windows格式为PE32。只是简单的将以前的32位字段扩展到64位。 重要要点 要认识到PE文件不是作为单一内存映射文件…

【实验名称】 手工编写PE文件 【实验目的】 1.了解PE文件的概念、结构 2.熟悉PE编辑查看工具，详细了解PE文件格式 3.重点分析PE文件文件头、引入表、引出表，以及资源表 【实验原理】 1.PE文件概述 PE文件的全称是Portable Executable，意为可…

标题：PE文件解析 作者：猫猫、有点乖 文章目录 1 IMAGE_DOS_HEADER2 IMAGE_NT_HEADERS2.1 IMAGE_FILE_HEADER2.2 IMAGE_OPTIONAL_HEADER32 3 IMAGE_SECTION_HEADER4 RVA 与 FOA 之间关系及转换5 IMAGE_EXPORT_DIRECTORY6 IMAGE_IMPORT_DESCRIPTOR7 重定位…

学习目的 本节的目的就是教会我们在一个可执行文件的代码节的空白区添加一段代码。 大致思路：正常的文件中OEP记录着程序入口的地址，现在我们将此可执行文件的程序入口OEP地址指向call0 x123456指令的地址，使其先执行我们添加的代码&#x…

代码加密功能的实现原理，首先通过创建一个新的.hack区段，并对该区段进行初始化，接着我们向此区段内写入一段具有动态解密功能的ShellCode汇编指令集，并将程序入口地址修正为ShellCode地址位置处，当解密功能被运行后则可…

最近在参考OpenShell为任务栏设置图片背景时，发现里面使用了IAT Hook，这一块没有接触过，去查资料的时候发现IAT Hook需要对PE文件结构有一定的了解，索性将PE文件结构的资料找出来，系统学习一下。 PE文件结构 Portable…

一、介绍 PE文件，即Portable Executable文件，是一种标准的文件格式，主要用于微软的Windows操作系统上。这种格式被用来创建可执行程序（如.exe文件）、动态链接库（.DLL文件）、设备驱动&#xff0…