一、EXE文件概念 EXE File英文全名executable file ,译作可运行文件,可移植可运行 (PE) 文件格式的文件,它能够载入到内存中,并由操作系统载入程序运行。是可在操作系统存储空间中浮动定位的可运行程序。如记事本程序notepad.exe ,能够用来编辑文档。如:測试.txt双 ...
分类:
其他好文 时间:
2016-04-03 18:50:28
阅读次数:
134
【原创】利用中转输出表制作HijackDll(附工具源码)作 者:baixinye时 间:2012-08-05,16:48:45链 接:http://bbs.pediy.com/showthread.php?t=154269众所周知,PE文件中的导出表指向一个IMAGE_EXPORT_DIRECTO...
分类:
其他好文 时间:
2016-01-17 20:11:01
阅读次数:
206
以下内容摘录自《加密与解密》: 为了在PE文件中避免有确定的内存地址,出现了相对虚拟地址(RVA)的概念。RVA只是内存中的一个简单的相对于PE文件装入地址的偏移位置。它是一个“相对”地址,或称为“偏移量”。 例如,假设一个EXE文件从地址400000h处装入,并且它的代码区块开始于4010...
分类:
其他好文 时间:
2015-12-30 22:04:08
阅读次数:
222
背景之前说过直接向类HelloWorld.exe的可执行文件添加一个MessageBox弹窗, 但有时候, 需要添加的内容太多了, 因为数据与代码一起插入, 以至于可执行文件本身没有足够的空闲空间存放这些内容时, 就需要添加一个Section.确认节区头后面还有空间用工具查看一下最后一个节区头后面是...
分类:
其他好文 时间:
2015-12-21 23:16:51
阅读次数:
241
IAT-import address table 一个普通PE文件的运行往往需要导入多个库文件,在PE文件运行时如何找到库文件中函数的准确入口是程序正确运行的保证。IAT就是提供这样保证的一个机制。 IAT总得来说是一张表,表内存储着每个库文件函数在内存中的地址。 就我的理解,IAT对应着IM...
分类:
其他好文 时间:
2015-12-16 19:28:02
阅读次数:
346
不赖猴的笔记,转载请注明出处。深入剖析PE文件PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解.一、基本结构。上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的...
分类:
其他好文 时间:
2015-12-10 23:41:09
阅读次数:
279
直接上代码(这里列出C++和Delphi的代码),Delphi代码中包含导入及导出文件和函数列表,PE结构可参阅资料,很多很详细,需要注意的是,本例中是映射到内存,不是通过PE装载器装入的,所以对于节的RVA地址需要转换成为文件偏移地址。Delphi代码[delphi]view plaincopyu...
分类:
其他好文 时间:
2015-11-28 00:52:22
阅读次数:
222
驱动程序分为两类: 一个是 Kernel(内核) 模式驱动,另一个是 Windows (用户窗口层)模式驱动。这两种模式本质是相同,但细节不同。本文介绍的是内核模式驱动和驱动程序的安装与使用。驱动程序同普通的 .exe,.dll 一样,都属于 PE 文件,而且都有一个入口函数。但 .exe 中,入口...
分类:
其他好文 时间:
2015-11-26 20:52:07
阅读次数:
168
写了很多程序,在很多地方都要用到内存长度对齐,比如文件的大小,pe文件内存的对齐等等。下面记下两种简单的方法,觉得没啥大用处。#include #include using namespace std;int main(int argc, char* argv[]){ DWORD dwLen ...
分类:
其他好文 时间:
2015-11-18 22:51:10
阅读次数:
166
