PE知識復習之PE的導出表
PE知識復習之PE的導出表 一丶簡介 在說明PE導出表之前.我們要理解.一個PE可執行程序.是由一個文件組成的嗎. 答案: 不是.是由很多PE文件組成.DLL也是PE文件.如果我們PE文件運行.那么就需要依賴DLL.系統DLL ...
原文:PE知識復習之PE的導入表
PE知識復習之PE的導入表 一丶簡介 上一講講解了導出表. 也就是一個PE文件給別人使用的時候.導出的函數 函數的地址 函數名稱 序號 等等. 一個進程是一組PE文件構成的. PE文件需要依賴那些模塊.以及依賴這些模塊中的那些函數.這個就是導入表需要做的. 確定PE依賴那個模塊. 確定PE依賴的那個函數. 以及確定函數地址. 總共分為三部分講解. 導入表定位位置: 在擴展頭中有一個數據目錄結構體 ...
2018-10-03 20:20 0 683 推薦指數:
相關推薦
PE知識復習之PE的節表
PE知識復習之PE的節表 一丶節表信息,PE兩種狀態.以及重要兩個成員解析. 確定節表位置: DOS + NT頭下面就是節表. 確定節表數量: 節表數量在文件頭中存放着.可以准確知道節表有多少個. 節表是一個結構體數組.沒一個節表表示了數據在哪,怎么存儲 ...
PE知識復習之PE的重定位表
PE知識復習之PE的重定位表 一丶何為重定位 重定位的意思就是修正偏移的意思. 如一個地址位 0x401234 ,Imagebase = 0x400000 . 那么RVA就是 1234. 如果Imagebase 變了成了0x300000, 那么修正之后 ...
PE知識復習之PE新增節
PE知識復習之PE新增節 一丶為什么新增節.以及新增節的步驟 例如前幾講.我們的PE文件在空白區可以添加代碼.但是這樣是由一個弊端的.因為你的空白區節屬性可能是只讀的不能執行.如果你修改了屬性.那么程序就可能出現問題.所以新增一個節可以實現我們的代碼 ...
PE知識復習之PE合並節
PE知識復習之PE合並節 一丶簡介 根據上一講.我們為PE新增了一個節. 並且屬性了各個成員中的相互配合. 例如文件頭記錄節個數.我們新增節就要修改這個個數. 那么現在我們要合並一個節.以上一講我們例子講解. 以前我們講過PE擴大一個節 ...
PE知識復習之PE的RVA與FOA的轉換
一丶簡介PE的兩種狀態 首先我們知道PE有兩種狀態.一種是內存展開.一種是在文件中的狀態.那么此時我們有一個需求. 我們想改變一個全局變量的初始值.此時應該怎么做.你知道虛擬地址.或者文件位置了.那么你怎么自己進行轉換. 也就是說通過文件中的節數據找到在內存中這塊數據的位置 ...
PE知識復習之PE的RVA與FOA的轉換
PE知識復習之PE的RVA與FOA的轉換 一丶簡介PE的兩種狀態 首先我們知道PE有兩種狀態.一種是內存展開.一種是在文件中的狀態.那么此時我們有一個需求. 我們想改變一個全局變量的初始值.此時應該怎么做.你知道虛擬地址.或者文件位置了.那么你怎么自己進行 ...
PE知識復習之PE的各種頭屬性解析
PE知識復習之PE的各種頭屬性解析 一丶DOS頭結構體 DOS頭是在16位程序下使用的.所以不用全部關心.只需要關心第一個跟最后一個成員記住即可. DOS頭大小是64個字節,十六進制是0x40 總結一下就是說. 4行只有第一行的前兩個字 ...