FbinstTool下载地址:http://down.51cto.com/data/1881752(1)、插入U盘,打开软件(2)、格式化U盘,参数如下:(3)、导入fba文件(4)、安装完成
http.sys 是一个位于Win2003和WinXP SP2中的操作系统核心组件,能够让任何应用程序通过它提供的接口,以http协议进行信息通讯。 温馨提示:如果用户不慎删除了该驱动文件,不用担心,该驱动会在下次系统启动时重建。是一个删不掉的系统核心组件!实用程序结束该驱动,该驱动也会马上重新创....
分类:
其他好文 时间:
2014-10-10 00:20:33
阅读次数:
246
IMAGE_DOS_HEADER STRUCT{+0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记+2h WORD e_cblp // Bytes on last page of file+4h WORD e_cp ...
分类:
其他好文 时间:
2014-10-09 20:18:47
阅读次数:
201
17.1.4 节表和节从排列位置来看,PE文件在DOS部分和PE文件头部分以后就是节表和多个不同的节(如图17.1中的③和④所示)。要理解什么是节表,什么是节以及它们之间的关系,那就首先要了解Windows是如何将PE文件映射到内存的。1. PE文件到内存的映射在执行一个PE文件的时候,Window...
分类:
其他好文 时间:
2014-10-09 19:18:27
阅读次数:
5134
PE(Portable Execute) 文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任 何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名...
分类:
其他好文 时间:
2014-10-09 14:23:34
阅读次数:
177
3-06. 表达式转换(25)(我只是来寻求帮助的,一直PE求案例)...
分类:
其他好文 时间:
2014-10-09 01:56:07
阅读次数:
236
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
基址重定位
链接器生成一个PE文件时,它会假设程序被装入时使用的默认ImageBase基地址(VC默认exe基地址00400000h,dll基地址10000000h),并且会把代码中所有指令中用到的地址都使用默认的基地址(例如 程序代码中 push 10001000,就是把10000000h当做了基地址,把push 10001000写入到文件中)。如果一个exe程序中一个dll装载时的地址与其它dll地址发生冲突(因为windo...
分类:
其他好文 时间:
2014-10-07 03:11:03
阅读次数:
313
1 基本概念下表描述了贯穿于本文中的一些概念:名称描述地址是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大)镜像文件...
分类:
其他好文 时间:
2014-10-06 17:55:20
阅读次数:
272
很多朋友喜欢听小甲鱼的PE详解,因为他们觉得课堂上老师讲解的都是略略带过,绕得大家云里雾里~刚好小甲鱼文采也没课堂上的教授讲的那么好,只能以比较通俗的话语来给大家描述~通常,区块中的数据在逻辑上是关联的。PE 文件一般至少都会有两个区块:一个是代码块,另一个是数据块。每一个区块都需要有一个截然不同的...
分类:
其他好文 时间:
2014-10-06 16:48:00
阅读次数:
306
(注:最左边是文件头的偏移量。)IMAGE_DOS_HEADER STRUCT{+0h WORD e_magic//Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记+2h WORD e_cblp//Bytes on last page of file+4h W.....
分类:
其他好文 时间:
2014-10-06 15:59:00
阅读次数:
238
