PE文件结构(四)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
输出表
一般来说输出表存在于dll中。输出表提供了 文件中函数的名字跟这些函数的地址, PE装载器通过输出表来修改IAT。
IMAGE_OPTIONAL_HEADER中的 DataDirectory[0] 提供了输出表的RVA。输出表是以一个IMAGE_EXPORT_DIRECTORY结构 开始的。
IMAGE_EXPORT_DIRECTORY结构:
typedef struct _IMAGE_EXP...
分类:
其他好文 时间:
2014-10-06 04:14:29
阅读次数:
279
关于Dll
Dll,Exe 都是PE格式的二进制文件。Dll相当于Linux操作系统下的so文件
1 基地址(Base Address)和相对地址(RelativeVirtual Address)
基地址(BaseAddress)和相对地址(Relative Virtual Address)是PE文件的概念,当PE文件被装载的时候,进程空间的起始地址就是基地址,这个值是PE...
分类:
其他好文 时间:
2014-09-01 00:29:22
阅读次数:
295
最近公司做一个远程桌面控制的软件,其中用到了API hook的技术,由于之前没有接触过此类技术,刚刚开始的时候就想按照《Windows核心编程》中介绍的修改IAT表的方法实现API hook,但是项目中的一个工程中需要创建第三方的工具的进程,此种方法可以注入现有的工程,但是第三方工具我没有源代码,由...
API拦截修改PE文件导入段中的导入函数地址 为 新的函数地址这涉及PE文件格式中的导入表和IAT,PE文件中每个隐式链接的DLL对应一个IMAGE_IMPORT_DESCRIPTOR描述符结构,而每个IMAGE_IMPORT_DESCRIPTOR结构中的FirstThunk指向一个IMAGE_TH...
【Hook技术】1、Inline Hook。2、IAT(导入表)
Hook。3、windows钩子函数。
常用函数包括:SetWindowsHookEx()、CallNextHookEx()、UnhookWindowsHookEx()。
分类:
其他好文 时间:
2014-05-01 20:14:21
阅读次数:
315
