PE知識復習之PE的導出表 一丶簡介 　在說明PE導出表之前.我們要理解.一個PE可執行程序.是由一個文件組成的嗎. 答案: 不是.是由很多PE文件組成.DLL也是PE文件.如果我們PE文件運行.那么就需要依賴DLL.系統DLL ...

　　　　　　　　　　　　PE知識復習之PE的導入表 一丶簡介 　　上一講講解了導出表. 也就是一個PE文件給別人使用的時候.導出的函數 函數的地址 函數名稱 序號 等等. 　　一個進程是一組PE文件構成的. PE文件需要依賴那些模塊.以及依賴這些模塊中的那些函數.這個就是導入表需要 ...

　　　　　　　　　　PE知識復習之PE的節表 一丶節表信息,PE兩種狀態.以及重要兩個成員解析. 　　確定節表位置: DOS + NT頭下面就是節表. 　　確定節表數量: 節表數量在文件頭中存放着.可以准確知道節表有多少個. 　　節表是一個結構體數組.沒一個節表表示了數據在哪,怎么存儲 ...

什么是重定位： 重定位就是你本來這個程序理論上要占據這個地址，但是由於某種原因，這個地址現在不能讓你占用，你必須轉移到別的地址，這就需要基址重定位。你可能會問，不是說過每個進程都有自己獨立的虛擬地址空間嗎？既然都是自己的，怎么會被占據呢？對於EXE應用程序來說 ...

下面的代碼實現： 1、先移動了重定位表 2、然后修改重定位表結構指向移動后的重定位的地址 3、接着手動Imagebase自增1000 4、最后修復重定位表 重定位表的作用就是：當實際加載到內存中的Imagebase與本該加載時候的Imagebase地址不同的時候 就需要進行修復重定位表 ...

　　　　　　　　　PE格式第七講,重定位表 作者：IBinary出處：http://www.cnblogs.com/iBinary/版權所有，歡迎保留原文鏈接進行轉載：) 一丶何為重定位(注意,不是重定位表格) 首先,我們先看一段代碼,比如調用Printf函數,使用OD查看. 那么大 ...

　　　　　　　　　　　　　PE知識復習之PE新增節 一丶為什么新增節.以及新增節的步驟 　　　　例如前幾講.我們的PE文件在空白區可以添加代碼.但是這樣是由一個弊端的.因為你的空白區節屬性可能是只讀的不能執行.如果你修改了屬性.那么程序就可能出現問題.所以新增一個節可以實現我們的代碼 ...

　　　　　　　　　　　　　　　　　　　　　　PE知識復習之PE合並節 一丶簡介 　　　根據上一講.我們為PE新增了一個節. 並且屬性了各個成員中的相互配合. 例如文件頭記錄節個數.我們新增節就要修改這個個數. 那么現在我們要合並一個節.以上一講我們例子講解. 　　以前我們講過PE擴大一個節 ...