2021年7月31日
WindowsPE 延迟加载导入表
摘要: typedef struct _IMAGE_DELAYLOAD_DESCRIPTOR { union { DWORD AllAttributes; struct { DWORD RvaBased : 1; // Delay load version 2 DWORD ReservedAttribute 阅读全文
posted @ 2021-07-31 23:02 紅人 阅读(259) 评论(0) 推荐(1) 编辑
WindowsPE 资源表
摘要: 0x01IMAGE_RESOURCE_DIRECTORY 资源表分布图 查看一个exe 资源表 4000位置 资源目录头的结构体 typedef struct _IMAGE_RESOURCE_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp 阅读全文
posted @ 2021-07-31 19:20 紅人 阅读(135) 评论(0) 推荐(0) 编辑
WindowsPE 重定位表
摘要: //@[comment("MVI_tracked")] typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; // WORD TypeOffset[1]; } IMAGE_BASE_RELOC 阅读全文
posted @ 2021-07-31 14:54 紅人 阅读(65) 评论(0) 推荐(0) 编辑
WindowsPE 导出表
摘要: _IMAGE_EXPORT_DIRECTORY 这个结构体 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersio 阅读全文
posted @ 2021-07-31 01:30 紅人 阅读(69) 评论(0) 推荐(0) 编辑
WindowsPE 导入表
摘要: 导入表在就是在.rdate 节表当然不绝对 导入表在 数据目录 第2个 导入函数在第13个 可以看到rdata 表 起始2000位置 导入表在2538 iat 在2000 这里的rva 地址都要转换为foa 地址 就是 当前rva-初始rva+foa偏移 就是文件物理偏移位置 通过数据找到导入表位置 阅读全文
posted @ 2021-07-31 00:26 紅人 阅读(117) 评论(0) 推荐(1) 编辑