2014年8月31日
摘要:
最近在一直努力学习破解,但是发现我的基础太差了,就想学习一下PE结构。可是PE结构里的结构关系太复杂,看这老罗的WiN32汇编最后一章翻两页又合上了。。把自己的信心都搞没了。感觉自己的理解能力不行,实践一下也许会好一点,可是怎么实践,进看雪搜一下发现了不少帖子的手写PE太牛了。。,心想咱们手写不行看... 阅读全文
摘要:
PE编辑工具Stud_PE v. 2.4.0.1PE工具,用来学习PE格式十分方便。http://www.cgsoftlabs.ro/汉化版:http://bbs.pediy.com/showthread.php?s=&threadid=22840 LordPE DLX增强版(2008.5.31)2... 阅读全文
摘要:
前面两篇PE文件结构详解(四)PE导入表和PE文件结构详解(五)延迟导入表介绍了PE文件中比较常用的两种导入方式,不知道大家有没有注意到,在调用导入函数时系统生成的代码是像下面这样的:在这里,IE的iexplorer.exe导入了Kernel32.dll的GetCommandLineA函数,可以看到... 阅读全文
摘要:
PE文件结构详解(四)PE导入表讲 了一般的PE导入表,这次我们来看一下另外一种导入表:延迟导入(Delay Import)。看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因为有些导入函数可能使用的频率比较低,或者在某些特定的场 合才会用到,而有些函数可能要在程序运行一段... 阅读全文
摘要:
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出表中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入表。也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入... 阅读全文
摘要:
上篇文章PE文件结构详解(二)可执行文件头的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,DataDirectory中的每一项都可以用这个函数获取,函数原型如下:PVOID NTAPI RtlIm... 阅读全文
摘要:
在PE文件结构详解(一)基本概念里,解释了一些PE文件的一些基本概念,从这篇开始,将详细讲解PE文件中的重要结构。了解一个文件的格式,最应该首先了解的就是这个文件的文件头的含义,因为几乎所有的文件格式,重要的信息都包含在头部,顺着头部的信息,可以引导系统解析整个文件。所以,我们先来认识一下PE文件的... 阅读全文
摘要:
PE(Portable Execute) 文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任 何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名... 阅读全文