随笔分类 - PE参考资料
摘要:17.1.4 节表和节从排列位置来看,PE文件在DOS部分和PE文件头部分以后就是节表和多个不同的节(如图17.1中的③和④所示)。要理解什么是节表,什么是节以及它们之间的关系,那就首先要了解Windows是如何将PE文件映射到内存的。1. PE文件到内存的映射在执行一个PE文件的时候,Window...
阅读全文
摘要:typedef struct _IMAGE_OPTIONAL_HEADER {//// Standard fields.//WORD Magic; //010B-IMAGE_NT_OPTIONAL_HDR32_MAGICBYTE MajorLinkerVersion; //0A-连接器主版本号BYT...
阅读全文
摘要:typedef struct _IMAGE_FILE_HEADER {WORD Machine; //014C-IMAGE_FILE_MACHINE_I386WORD NumberOfSections; //PE节数量-0007个节DWORD TimeDateStamp; //时间戳E72B4...
阅读全文
摘要:IMAGE_DOS_HEADER STRUCT{+0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记+2h WORD e_cblp // Bytes on last page of file+4h WORD e_cp ...
阅读全文
摘要:typedef struct _IMAGE_NT_HEADERS {DWORD Signature; //PE头签名PE\0\0IMAGE_FILE_HEADER FileHeader; //PE文件头(http://www.cnblogs.com/zheh/p/4013705.html)IMA...
阅读全文
摘要:PE(Portable Execute) 文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任 何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名...
阅读全文
摘要:原文出自:www.fishc.com最近一直在安排第一届鱼C 学习班的事情,忙活了好一阵子,真是对不住大家,还大家久等了,这里要跟大家说声不好意思 ^_^今天我们来谈谈资源部分,资源部分可以说是 PE 文件所有结构中,最复杂的一部分,也最让人揪心。很多朋友都想通过自己动手修改一些游戏的资源、工具的界...
阅读全文
摘要:1 基本概念下表描述了贯穿于本文中的一些概念:名称描述地址是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大)镜像文件...
阅读全文
摘要:在此之前,我们已经对这个输入表进行了一些实践和理解,这有助于大家对这个概念更进一步的加深认识。小甲鱼觉得,越是复杂的问题我们应该越是去动手操作它,认识它,这样才容易熟悉它!在上一节课我们像小鹿一样的乱撞,终于撞到了输入表里边包含的函数名称,嘿嘿,不过地址,我们还是没能找着……这节课我们将深入来剖析...
阅读全文
摘要:捷径并不是把弯路改直了,而是帮你把岔道堵上!走得弯路跟成长的速度是成正比的!不要害怕走上弯路,弯路会让你懂得更多,最终还是会在终点交汇!岔路会将你引入万劫不复的深渊,并越走越深……在开始讲解输入表(导入表)概念之前,请允许小甲鱼童鞋用简短的几句话来总结之前我们学过的内容,并做进一步的思想综合提升,...
阅读全文
摘要:很多朋友喜欢听小甲鱼的PE详解,因为他们觉得课堂上老师讲解的都是略略带过,绕得大家云里雾里~刚好小甲鱼文采也没课堂上的教授讲的那么好,只能以比较通俗的话语来给大家描述~通常,区块中的数据在逻辑上是关联的。PE 文件一般至少都会有两个区块:一个是代码块,另一个是数据块。每一个区块都需要有一个截然不同的...
阅读全文
摘要:这一讲我们结合实例来谈谈区块表的定义以及各个属性的含义。首先,我们先用之前学过的一点知识在二进制文件中手动翻找区块表,这样做的好处是可以使你很快的对PE结构牢记于心。学来的东西就是能用的东西,不能用的理论是空谈,是瞎扯。(具体过程演示大伙可参考小甲鱼的视频教程:《解密系列》系统篇.第五讲)这里我们...
阅读全文
摘要:到此为止,小甲鱼和大家已经学了许多关于DOSheader和PEheader的知识。接下来就该轮到SectionTable(区块表,也成节表)。(视频教程:http://fishc.com/a/shipin/jiemixilie/) 越学越多的结构,大家可能觉得PE挺乱挺杂的哈,所以这里插播下一下必要...
阅读全文
摘要:咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用!(视频教程:http://fishc.com/a/shipin/jiemixilie/) 接着我们来谈谈IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构,但...
阅读全文
摘要:PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~(视频教程:http://fishc.com/a/shipin/jiemixilie/) 首先是IMAGE_NT_HEADERS 结构的定义:(...
阅读全文
摘要:(注:最左边是文件头的偏移量。)IMAGE_DOS_HEADER STRUCT{+0h WORD e_magic//Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记+2h WORD e_cblp//Bytes on last page of file+4h W...
阅读全文
