转自：https://www.cnblogs.com/ChinaHook/p/4661030.html https://www.cnblogs.com/ChinaHook/p/4661062.html 1、检查点 1、自动变量检查： 返回自动变量（局部变量）指针； 2、越界检查：数组越界返回自动变量…

文章目录 前言一、Windows安装cppCheck1.1 下载cppCheck1.2 安装cppCheck1.3 添加环境变量1.4 验证安装 二、配置Qt外部工具--cppCheck三、使用Qt外部工具--cppCheck四、cppCheck参数说明4.1 主要选项4.2 检查范围4.3 检查器4.4 默认检查器4.5 获取检查器列表4.6 内存泄漏相关检…

0 背景 最近调研了几款 c/c 代码静态检查工具，包括 cppcheck、cpplint、cppdepend、splint、tscancode、sonaqube 等，对比后认为 cppcheck 使用起来最方便，检查内容相对全面，支持多平台应用（linux 和 windows&#xf…

1、pv：物理卷。 实际的分区要调整系统标识符（system ID）成为8e（LVM的标示），然后在经过pvcreate的命令将它转成lvm最底层的物理卷（pv），之后才能将这些pv加以利用&#xf…

可选PE头 file header Characteristicsoption PE code file header Characteristics PE文件解析官方文档 option PE code pe文档 //可选PE头 IMAGE_OPTIONAL_HEADER32 STRUCT{0x00 WORD Magic; // 标志字, ROM 映像（0107h）,普通可执行文件&a…

PE 格式详解与试验 可执行文件结构分析DOS头文件头可选头PE RVA 地址与文件地址转换块表 Section Header导入表 Data Directory基址重定位 relocC语言解析 PE 结构ELF 格式readelf 命令解析 ELF 格式基于机器学习的恶意程序检测通过PE文件可以直接获取到的特征字节直方图文本特…

PE文件格式分析 一、MS-DOS头部DOS MZ头看个实例： DOS Stub看个实例： 二、PE文件头看个实例：IMAGE_NT_HEADERS（NT映像头）Signature看个实例：IMAGE_FILE_HEADER看个实例： IMAGE_OPTIONAL_HEADER3…

本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还是需要用到《驱动开发&#x…

个人博客：coonaa.cn 【本文博客同步地址】 一. 基本概念 1.1 可执行文件 文件格式 文件格式规定了文件在电脑中的存储格式。 不同的存储格式，按照不同的数据结构，保存不同类型的文件，文件格式与操作系统有关。 可执行文件 可以…

(内容未全部完成) 简介: PE（ Portable Execute）文件是Windows下可执行文件的总称，常见的有 DLL，EXE，OCX，SYS 等。它是微软在 UNIX 平台的 COFF（通用对象文件格式）基础上制作而成。…

在笔者上一篇文章《驱动开发：内核解析PE结构导出表》介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中LyShark封装实现了K…

1. 概述 PE文件的全称是Portable Executable，意为可移植的可执行的文件，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件（可能是间接被执行，如DLL）。它是1993年Windows …

PE格式定义的主要地方位于我们的头文件winnt.h，这个头文件中几乎能找到关于PE文件的所有定义。   在很多编译器、调试器中都会带有这个头文件，如VC6.0、codeblocks、Ollydbg等，在自己的电脑上一搜就有好多个。   整个的头文件winnt.h代码…

在笔者上一篇文章《驱动开发：内核特征码搜索函数封装》中为了定位特征的方便我们封装实现了一个可以传入数组实现的SearchSpecialCode定位函数，该定位函数其实还不能算的上简单，本章LyShark将对特征码定位进行简化，让定位变得更简…

用Python生成一个PE文件，主要是为了学习PE格式，因为看很多红队工具的原理都要掌握这个，这篇文章主要是记录调试代码的过程。 主要使用的是Python3。 有关PE的文件结构描述，之前写过一个简短的对每个字段的描述 描述pe格式的主要地方是winnt.h，其中有一节叫做Image Format…

签到 题目来源 CTFshow-菜狗杯-Crypto 题目密文 63746673686f777b77656c636f6d655f325f636169676f755f6375707d 题目考点 十六进制串转字符 解题过程 观察密文，像是base16或字符的十六进制序列 采用CTF编码工具进行十六进制转字符，得到答案 ctfshow{welcome_2_caigou…

初步分析 本题是驱动的修复及调试……(:з」∠) 拿到sys文件，发现是PE格式，于是直接IDA反编译 沿着DriverEntry向里查找，发现这里 这里创建了硬件设备对象和符号链接并传入DriverObject MajorFunction就很明显了 PDRIVER_DISPATCH MajorFunct…

这个学期终于圆了当年来读渣电的网络安全专业的一个梦：PE病毒编写。 想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解，可是搞到后面很多东西不理解做的不深入，所以就先一本心思的考上渣电，然后再来深入的学习一下PE的相关。 后…

目的：使用一个具体例子查询输入表的真实模样；notepad.exe加载到内存时，查询输入表的INT，用这个INT中的函数名对应的真实地址填充notepad.exe内存中IAT的过程；PE文件装在完后，通过IAT就可以找到函数在内存中…

PE简介 PE文件衍生于早期建立的COFF文件格式,EXE和DLL文件实际上用的是同一种文件格式，唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。64位Windows格式为PE32。只是简单的将以前的32位字段扩展到64位。 重要要点 要认识到PE文件不是作为单一内存映射文件…