摘要:
一、引言 PE头结构定义 --> winint.h PE头结构有64bits与32bits之分,一般在名称上会表现出来 64bits与32bits头结构基本一致,只是进行简单扩展 基地址 相对虚拟地址 文件偏移地址 阅读全文
摘要:
三、块(节) PE文件到内存的映射 windows不会将文件全部加载至内存,采用类似内存映射文件机制 一般,会处理以下内容: 内存页属性 节的偏移地址 节的尺寸 不进行映射的节 阅读全文
摘要:
区块表与区块 阅读全文
摘要:
二、 MS-DOS头部 PE文件头部第一个字节起始于一个传统的MS-DOS头部,IMAGE-DOS-IHEADER struct _IMAGE_DOS_IHEADER{ 0X00 WORD e_magic; // MAGIC DOS sigture MZ(4Dh 5Ah) dos可执行文件 //.. 阅读全文
摘要:
ELF文件解析(二):ELF header详解 转载:https://www.cnblogs.com/jiqingwu/p/elf_explore_2.html 上一篇讲了ELF文件的总体布局,以及section和segment的概念。按照计划,今天继续讲 ELF header。 讲新的内容之前,先 阅读全文
摘要:
ELF格式探析之三:sections 前文链接: ELF格式探析之一:Segment和Section ELF格式探析之二:文件头ELF Header详解 今天我们讲对目标文件(可重定位文件)和可执行文件都很重要的section。 我们在讲ELF Header的时候,讲到了section header 阅读全文
摘要:
ELF文件解析(一):Segment和Section 转载:https://www.cnblogs.com/jiqingwu/p/elf_format_research_01.html ELF 是Executable and Linking Format的缩写,即可执行和可链接的格式,是Unix/L 阅读全文
摘要:
小甲鱼PE详解之输出表(导出表)详解(PE详解09) 引言 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 ( 阅读全文
摘要:
小甲鱼PE详解之基址重定位详解(PE详解10) 今天有一个朋友发短消息问我说“老师,为什么PE的格式要讲的这么这么细,这可不是一般的系哦”。其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做,主要原因是因为PE结构非常重要,再说做这个课件的确是很费神的事哈。在 阅读全文
摘要:
小甲鱼PE详解之区块表(节表)和区块(节)(PE详解04) PE文件到内存的映射 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 当且仅当真正执行 阅读全文