第一課 PE的介紹與手寫DOS頭
這個標頭檔案包含了所有PE相關的結構 首先建立一個小的可執行程式 選擇一個小的應用程式 編譯好之後,我們看一下他的區段(text是放程式碼的,rdata段是放匯入表的,data用來放全域性函式的) 把標頭檔案放到編譯的目錄下可以精簡我們的程式 只要在原始碼中包含一下這個標頭檔案即可 右鍵檢視標頭檔案 […]
PE
1/2ページ
第三課 完善可選頭(整個PE課程中最重要的一課)
上一節課中我寫好了_IMAGE_OPTIONAL_HEADER 頭的前10個成員,今天我接著來完善這個結構中最重要的兩個成員,在學習第11個第12個成員之前我們先來認識一下PE磁碟檔案與記憶體映像結構圖。 做一個RVAtoRAW的轉換練習(根據上節課講的轉換公式) RVA: (Relative Vi […]
- 2018.07.31
- FileAlignment, PE, pe檔案, SectionAlignment, 個性化pe,
PE檔案內名存實亡的對齊
本文章是我在看雪轉載的,感覺非常有用,讓我明白了一個核心道理:PE格式只是一個參考 PE檔案內名存實亡的對齊大家知道PE檔案中IMAGE_NT_HEADERS的IMAGE_OPTIONAL_HEADER32裡有兩個對其因子SectionAlignment和FileAlignment分別表示記憶體中塊 […]
第二課 手寫檔案頭和部分可選頭
寫入_IMAGE_FILE_HEADER全部成員 和_IMAGE_OPTIONAL_HEADER部分成員 上一節我們已經學習了這些結構,再複習一下 寫入_IMAGE_FILE_HEADER資料: 成員1,佔2個位元組,表示該檔案執行所要求的CPU。對於Intel平臺,該值是“4C01”。 成員2,佔 […]
第四課 完善可選頭
開啟IMAGE_OPTIONAL_HEADER結構.txt檔案 成員13,2個位元組,表示作業系統主版本號,此值不會影響程式的執行,我們這裡填充零,此值為“0000”。 成員14,2個位元組,表示作業系統副版本號,此值不會影響程式的執行,我們這裡填充零,此值為“0000”。 […]
第七課 認識匯入表
認識匯入表(_IMAGE_IMPORT_DESCRIPTOR)結構。 簡單的說一個程式不可能完全包含整個系統中的程式碼,當我們要實現一些功能的時候,系統的API已經包含了這個功能,那麼我們就可以將系統的這個dll載入到我們程式的記憶體記憶體空間中,然後去執行他就可以了。比如一個簡單的視窗中彈出對 […]
pe知識
c00005防止記憶體出錯, 核心過載:作業系統啟動核心.exe檔案,過載用peloader啟動作業系統的exe filebuffer是直接從硬碟載入到記憶體 imagebuffer是檔案映像,做了記憶體對齊 imageBuffer 是fileBuffer的拉伸,可以執行啦 imageBase是記憶 […]
如何製作PE盤
大多數pe軟體帶有討厭的廣告並且會給你捆綁各種各樣的軟體,所以我選擇了比較乾淨的wepe 下載地址:http://www.wepe.com.cn/download.html 進入後選擇框選的版本進行下載安裝,其它版本也行。 開啟後,插入u盤,點選下方按鍵(在這要做提醒,做完之後你的U盤會被格式化,所 […]
VBS教程:屬性-Type 屬性
Type 屬性 返回檔案或資料夾的型別資訊。例如,對於副檔名為 .TXT 的檔案,返回“Text Document”。 object.Type object 應為 File 或 Folder 物件的名稱。 說明 以下程式碼舉例說明如何使用 Type 屬性返回資料夾的型別。在此示例中,試圖向過程提供“ […]
VBS教程:屬性-DriveType 屬性
DriveType 屬性 返回一個描述指定驅動器的型別的值。 object.DriveType object 應為 Drive 物件的名稱。 說明 以下程式碼舉例說明如何使用 DriveType 屬性: Function ShowDriveType(drvpath) Dim fso, d, t Se […]