首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

PE知识复习之PE导入表

PE知识复习之PE导入表 一丶简介   上一讲讲解了导出表. 也就是一个PE文件给别人使用时候.导出函数 函数地址 函数名称 序号 等等.   ...一个进程是一组PE文件构成. PE文件需要依赖那些模块.以及依赖这些模块中那些函数.这个就是导入表需要做. 确定PE依赖那个模块. 确定PE依赖那个函数. 以及确定函数地址....会一一进行讲解.首先从最简单成员开始.   2.1 Name成员. 确定依赖模块名字是什么 我们说过.一个PE文件.依赖模块....PE加载前加载后区别. 一样是一样.但是需要分清 PE加载前.还有PE加载后.如果加载前,那么IAT跟INT一样.都可以找到依赖函数名称....如果是加载后.也就是在内存中的话.那么IAT表保存就是函数地址. PE加载后如下图: ? IAT表保存就是函数地址了. 从导入表中找到IAT表. ?

1.1K20

PE知识复习之PE导出表

PE知识复习之PE导出表 一丶简介  在说明PE导出表之前.我们要理解.一个PE可执行程序.是由一个文件组成吗....答案: 不是.是由很多PE文件组成.DLL也是PE文件.如果我们PE文件运行.那么就需要依赖DLL.系统DLL就是Kerner32.dll user32.dll等等.这些都是PE文件....什么是导出表:     导出表就是当前PE文件提供了那些函数.给别人用. 举个例子: PE文件相当于一个饭店.那么菜单就是导出表....如果在内存中.我们直接RVA + 当前PEImageBase就可以看到函数导出名称了.不过我们现在算一下....0300 0400 0500 序号.两个字节进行存储 常用函数 GetProcAddress(模块,名字或者序号) 我们这个函数就是遍历PE文件中导出表进行返回.

1.5K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    PE知识复习之PE节表

    PE知识复习之PE节表 一丶节表信息,PE两种状态.以及重要两个成员解析.   确定节表位置: DOS + NT头下面就是节表.   ...} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; 节表重要成员都标红了.我们知道.PE文件有两种状态.一种是内存状态.一种则是文件状态....而节就是分别保存了内存中节展开位置偏移. 以及文件展开后.节数据在文件中那个偏移位置. 1.内存中节开始位置 我们分别以PE两种状态.来加深一下.在内存中跟文件中节数据起始位置....这也解释了PE在内存中展开跟在文件中是不一样. 也加深了节表中 VirtualAddress成员 以及 PointerToRawData成员了....节属性.也就是最后一个成员.表明了这个节是可读可写.还是可读可写可执行. 具体可以查看一下宏.

    1K20

    PE知识复习之PE重定位表

    PE知识复习之PE重定位表 一丶何为重定位       重定位意思就是修正偏移意思. 如一个地址位 0x401234 ,Imagebase = 0x400000 ....首先我们知道.一个EXE文件.会调用很多DLL(PE) 有多个PE文件组成. exe文件启动基址 (ImageBase) 是0x40000. 假设我们调用三个DLL A B C....但是我们知道.PE文件中有很多RVA .RVA 是相对于ImageBase偏移进行存放. 如果PE文件中都是 RVA 那就好办了. 但是不一定呀....我们知道.一个PE文件需要很多地方进行重定位.比如这个记录 大小为16....所以修复位置是 0x116b0位置. 0x116b0 + 当前PE文件ImageBase就是要进行重定位位置 当前PEImagebase为0x400000 重定位地方为 0x4116b0位置

    1.6K30

    制作Win11PE用于云服务器

    制作winpe软件很多,我自己已经习惯用WimBuilder2,网上制作Win11PE资料很少很少,这个完全是我摸索出来,分享给有缘人。...,这样就得到了在云上可以使用win11pe.iso,在vmware虚拟机光驱上挂载BOOTPE.iso马上就能看效果(下图是没改默认键盘) 上面只是粗制,还需要精修,比如,放自己惯用浏览器、运维工具...,效果图如下 我自己制作Win11PE初衷是为了通过winpe分区格式化时能选ReFS文件系统(腾讯云目前还不支持UEFI+GPT,ReFS需要UEFI+GPT,所以腾讯云目前还不支持ReFS) 有Win11PE...优盘做好后,开机时选择从优盘启动即可,具体按哪个键调出bootmenu可以从这里查下 https://www.laomaotao.net/ 当然,最省事就是直接下载老毛桃,不过我看网上基本都是win10pe...,鲜有Win11PE

    3.6K40

    PE知识复习之PE绑定导入表

    PE知识复习之PE绑定导入表 一丶简介   根据前几讲,我们已经熟悉了导入表结构.但是如果大家尝试过打印导入表结构. INT IAT时候. 会出现问题....PE在加载前 INT IAT表都指向一个名称表. 这样说是没错. 但是如果你打印过导入表.会发现一个问题. 有的EXE程序.在打印IAT表时候.发现里面是地址....原因:   我们PE程序在加载时候.我们知道. PE中导入表子表. IAT表.会填写函数地址. 但是这就造成了一个问题.PE程序启动慢.每次启动都要给IAT表填写函数地址.   ...这样是可以. 优点:   PE程序启动变快. 缺点:   如果DLLImageBase变了.那么就需要进行重定位.因为在文件中你填写地址是固定地址....PE文件名 WORD NumberOfModuleForwarderRefs;        //依赖另外DLL有几个 // Array of zero or more IMAGE_BOUND_FORWARDER_REF

    99820

    使用Windows10搭建minecraft JE服务器

    如何使用Windows电脑开个minecraft JE服务器 准备 一个电脑 RAM2GB以上 一个内网穿透账号 有公网这个当我没说 开始 第一步 安装个java 下载就行了...安装之后 右击此电脑 点击属性 点击高级系统设置 点击环境变量 在系统变量一栏里 新建一个变量 叫JAVA_HOME 添加你java安装路径 之后找到path变量<忽略大小写,如果没有此变量请新建...cd 到服务器目录 输入 java -jar server.jar 之后输入help获取可以弄得指令 看2.1朋友请调到4步 第三步 之后powershell会闪退下是正常现象 在 服务器目录 找到...eula.txt 把FALSE改成true 关闭并保存 找到cmd cd 到服务器目录 输入 java -jar server.jar 之后就可以输命令了 但是这还没完 还得内网穿透 第四步 进入natfrp...樱花映射 登录账号 点击用户信息 找到访问密钥选项 显示 之后复制 之后去软件下载 下载一个版本 不要急着打开 找到新建隧道 找一个服务器 本地端口写25565 其他都不用填 确定即可 之后把下载下来压缩包

    5.7K10

    PE知识复习之PE两种状态

    PE知识复习之PE两种状态 一丶熟悉PE整体结构 ?...从下面依次网上看.可以得出PE结构 其中DOS头有DOS头结构 也就是 IMAGE_DOS_HEADER 关于结构体各项属性.前边已经写过了.本系列博客就是加深PE印象.理解复杂原理....MZ头就是标出来 4D 5A 大小是两个字节. 操作系统会以检查这个标识.判断是否是PE文件. PE偏移 0x00000138 大小是4个字节.指向PE头....NT头中PE标识.操作系统不光检查MZ 也检查PE. 三丶DOS stub Dos stub 大小是不确定,他大小是 PE头减掉 DOS头大小.其中成员都是Dos stub. ?...填写AAAA地方是对其后没有使用.所以我们如果熟悉PE可以添加任何成员进去. 八丶PE两种状态 根据上面简单了介绍了一下PE存储结构.也知道了节数据跟节数据之间.都是根据文件对齐存放.

    58960

    PE文件解析器编写(二)——PE文件头解析

    这次主要说明PE文件头解析,也就是之前看到第一个界面中显示内容,这个部分涉及到CPeFileInfo这个解析类部分代码,以及CPeFileInfoDlg这个对话框类代码。...在程序中有一个判断该文件是否是PE文件操作。...在PEDOS头结构中e_magic结构保存是’MZ’这个标志对应16进制数是0x4d5a,另外在pe头中有一个Sinature成员保存了0x50450000这个值,它对应字符是‘PE’只有满足这两个条件文件才是一个正常...获取DOS头和PE头 在之前我们说过,PE文件开始位置是一个DOS头结构——IMAGE_DOS_HEADER STRUCT,它第一个成员作为DOS头标识,一般保存都是‘MZ’,而它里面的e_lfanew...则保存真正PE头所在偏移 所在获取DOS头时候简单将前面的几个字节转化为这个结构即可,在寻址PE时候用e_lfanew成员加上文件起始地址就可以得到PE地址。

    1.3K20

    4.2 针对PE文件扫描

    通过运用LyScript插件并配合pefile模块,即可实现对特定PE文件扫描功能,例如载入PE程序到内存,验证PE启用保护方式,计算PE节区内存特征,文件FOA与内存VA转换等功能实现,首先简单介绍一下...pefile模块是一个用于解析Windows可执行文件(PE文件)Python模块,它可以从PE文件中提取出文件头、节表、导入表、导出表、资源表等信息,也可以修改PE文件一些属性。...;图片总体上,这段代码作用是利用调试器将调试程序首地址处4096字节读入内存,然后使用pefile模块将其解析为PE文件,最后输出PE文件可选头信息。...RVA通常是用于描述PE文件中各个段相对位置,它不像VA一样是用于真正运行程序,而是在加载 PE 文件时进行重定位所使用。...,至于PE结构解析问题,详细度过PE结构篇你不需要我做太多解释了。

    27320

    Windows10远程连接CentOS7(搭建Xrdp服务器

    为什么80%码农都做不了架构师?>>> ? Windows10远程连接CentOS7(搭建Xrdp服务器) 听语音 浏览:0 | 更新:2018-02-11 12:56 ? 1 ?...7 分步阅读 通过VNC或Xdmcp方式远程连接linux图形桌面,虽然都很方便,但有个缺点就是资料都是没有加密,不够安全,不适合连接互联网操作,因此在linux上配置Xrdp服务器,再使用Windows...上具有连线加密功能远程桌面连接会比较安全。。。...工具/原料 能连接上网主机两部(一个是CentOS7系统,一个是Windows10系统) 方法/步骤 1 打开已经安装了CentOS7主机,以root用户登录,在桌面上打开一个终端,输入命令...10 在键盘上按下“Ctrl+R”键,在弹出“运行”框中输入“mstsc“命令,按“确定”,打开Windows远程连接,输入IP地址开始远程连接,在弹出Xrdp用户验证窗口中输入CentOS7用户名和密码

    9K40

    浅谈非PE攻击技巧

    背景 近日,金山毒霸安全中心捕获到一例利用邮件传播PE样本,类型为lnk快捷方式文件,执行后会下载勒索病毒,最终会加密用户机器上文档、图片、视频等重要文件。...这是一个典型以邮件作为传播媒介,以非PE文件作为攻击载荷攻击过程。本文将以该案例为切入点,针对现有的非PE攻击手法进行分析与总结,内容包括脚本类型以及文档类型攻击,下面开始今天正文。...2.对抗&绕过 2.1 猜猜我是谁 对于杀软厂商来讲,PE文件类型识别较为容易,因为它们有固定格式以及标记,但对于非PE样本来讲,识别文件类型是一个比较困难问题,通常有两种可选方案,各有优缺点,方案...PE文件,而目前对于第2级PE执行方式,也渐渐从之前直接允许转换到延迟执行,如下:通过设置计划任务方式在开机时执行。...三、总结 与PE相比,非PE拥有更多攻击方式及技巧。对于杀毒软件厂商而言,检测与分析也极具挑战,可以想象彼此攻防转换也不会有停止那一刻,作为防守方,我们要做还有很多。

    1.7K70

    如何系统备份ghost_服务器可以用pe备份吗

    大家好,又见面了,我是你们朋友全栈君。...电脑出现系统故障是一个很正常现象,在这个时候只能通过重组系统方法来解决故障,如果我们此前有将正常系统备份到U盘里面那么重装系统就会变得很简单,接下来就教给大家怎样用GHOST备份系统。...1、首先把装有一键GHOST装系统U盘插在电脑上,然后打开电脑马上按F2或DEL键入BIOS界面,然后就选择BOOT打USD HDD模式选择好,然后按F10键保存,电脑就会马上重启。...通过上面的方法借助一键GHOST工具将系统备份好了,如果下次再次碰到需要重装系统情况则可以直接使用这个备份好系统进行重装操作,当然如果碰到更好系统,也可以重复操作一遍上面的步骤来备份更好系统。...如发现本站有涉嫌侵权/违法违规内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

    4.7K20

    DIY 手动制作自己win pe

    大家好,又见面了,我是你们朋友全栈君。 首先,写在前面的话,从网上下载winpe 用着总是觉得不安心(。。。),在然后自己做pe可以封装进去自己常用工具。...8、d:\winpe\pe3\boot.wim即为修改后镜像。 这个时候运行这个映像winpe是默认“命令提示符”窗口。(至于怎么搞出explorer.exe资源管理器窗口,我没弄出来。...我解决办法是把totalcmd封装到\Program Files\目录中了 ) 制作PE光盘镜像: 1. 新建d:\winpe\pe,新建d:\winpe\pe\sources 2....\pe 复制修改后boot.wim文件到d:\winpe\pe\sources(X为windows7光盘符) 3....用UltraISO将d:\winpe\pe目录和文件添加到光盘镜像,加载windows7.bif,保存镜像为PE 3.0.iso 至此PE3.0.ISO就是做winpe了。

    2.9K30
    领券