PE文件是以64字节的DOS文件头开始的(IMAGE_DOS_HEADER),接着是一段小DOS程序,然后是248字节的NT文件头(IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出!NT文件头的前4个字节是文件签名(“PE00"字符串),紧...
分类:
其他好文 时间:
2014-09-04 16:39:19
阅读次数:
378
原型内存模型介绍原型是javascript中非常特殊的一个对象,当一个函数创建之后,会随之就产生一个原型对象。当通过这个函数的构造函数创建一个具体的对象之后,在这个具体的对象中就会有一个属性指向原型。第一种状态function Person(){ }function Person(){},Pe...
分类:
编程语言 时间:
2014-09-03 19:43:57
阅读次数:
257
一、PE结构基础看了很多PE结构类的东东,要不上来就是整体结构,要不就是一大堆ASM代码,看的我等菜鸟有点难受!所以自己写个帖·学习PE我们先来弄懂几个问题!1:几个地址的概念VA:虚拟地址,也就是内存中的地址!RVA:相对虚拟地址,等于VA-ImageBaseOffset:物理地址,磁盘上文件的地...
分类:
其他好文 时间:
2014-09-03 16:31:56
阅读次数:
263
有很多介绍PE文件的文章,但是我打算写一篇关于输入表的文章,因为它对于破解很有用。 我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的,有一个比较小的输入表,所以我想它应该是个不错的范例。 好了,让我.....
分类:
其他好文 时间:
2014-09-03 16:18:26
阅读次数:
215
先来看一个可执行文件的实例:本例程打开一PE文件,将所有引入dll和对应的函数名读入一编辑控件,同时显示IMAGE_IMPORT_DESCRIPTOR结构各域值。C:\QQDownload\blah.EXE================[ IMAGE_IMPORT_DESCRIPTOR ]====...
分类:
其他好文 时间:
2014-09-03 16:16:46
阅读次数:
293
解决方法:1.使用其他介质引导进入PE,列如:U盘启动,光盘上有PE。2.进入CMD命令提示符模式,将OSK.EXE和CMD.EXE拷贝到别的地方3.如果Windows7装在c盘,请根据个人情况自行改动,执行以下命令4.copyc:\windows\system32\osk.exee:\5.copyc:\windows\system32\cmd.exee:\6.然后..
PE:Portable Executable File Format(可移植的执行体)。Windows平台主流可执行文件格式。.exe与.dll文件都是PE格式。32位的叫做PE32,64位的叫做PE32+。PE文件格式定义在winnt.h头文件中。PE文件格式总览:PE文件使用的是一个平面地址空间...
分类:
其他好文 时间:
2014-09-02 15:35:14
阅读次数:
249
能实现基本的信息获取区段信息数据目录信息导入表函数分析导出表函数分析,能同时解析只序号导出和以函数名序号同时导出的函数FLC计算需要源码的可以留邮箱。
分类:
其他好文 时间:
2014-09-02 14:05:54
阅读次数:
197
1.实例1国外的人写的最小的PE文件--97Bytes4D5A0000504500004C0101006A2A58C30000000000000000040003010B0108000400000000000000040000000C000000040000000C00000000004000040...
分类:
其他好文 时间:
2014-09-02 14:00:04
阅读次数:
220
(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT { +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp // Bytes on la...
分类:
其他好文 时间:
2014-09-01 20:58:23
阅读次数:
603
