学习
实践
活动
工具
TVP
写文章

使用微PE工具箱安装重装windows系统

但是这样对U盘的传输性能以及容量提出了较大的要求,所以Windows预安装系统(Windows Preinstallation Environment)应运而生,它在原有操作系统的基础上简化了许多内容, 笔记本电脑,称为A; 待安装系统的主机/笔记本电脑,称为B; 一个内存在4G以上的空U盘(win10则需要8G,建议直接整个16G一劳永逸),如果有数据请在其他地方备份好; 设备A的部分 自行下载需要的windows 我选择的是“Windows 7 Home Premium with Service Pack 1 (x64) - DVD (Chinese-Simplified)”,点开详细信息里会有一串ed2k:开头的代码 image.png 防止后续装完系统后卡在启动界面 在安装win7系统时,如果不开启csm兼容模式,则后续安装完系统后会一直卡在”启动windows界面或安装程序正在更新注册表设置”界面,直到安装了win7 (上面设置了U盘优先级,不拔的话重启还是会打开刚才的PE系统) 之后啥也不用干,等待开机完成即可!

2.4K20

十六.PE文件逆向基础知识(PE解析、PE编辑工具和PE修改)

PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行 EXE文件格式: DOS:MZ格式 WIndows 3.0:NE(New Executable)、16位Windows可执行文件格式 为什么要重点学习这种文件格式呢? 了解软件加密和加壳的思想,能够PJ相关的PE文件 它是您熟悉Windows操作系统的第一步,包括EXE程序怎么映射到内存,DLL怎么导入等 软件逆向工程的基本思想与PE文件格式息息相关 如果您想成为一名黑客 2.寻找函数MessageBoxA的地址 user32.dll是Windows用户界面相关应用程序接口,用于包括Windows处理、基本用户界面等特性。 病毒原理、C++实现文件加解密及OllyDbg逆向 [系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及蓝屏攻击 [系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度提权

1.9K51
  • 广告
    关闭

    云服务器应用教程

    手把手教您从零开始搭建网站/Minecraft游戏服务器/图床/网盘、部署应用、开发测试、GPU渲染训练等,畅享云端新生活。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    十七.Windows PE病毒概念、分类及感染方式详解

    作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行 二.PE病毒概念 什么是PE病毒? PE病毒又称为Win32 PE病毒,或称为Win32病毒。它指所有感染WindowsPE文件格式文件的病毒。 因为它通常采用Win32汇编编写,而且格式为PE文件,因此而得名。PE病毒是以Windows PE程序为载体,能寄生于PE文件或Windows系统的病毒程序。 文件逆向基础知识(PE解析、PE编辑工具和PE修改) [系统安全] 十七.Windows PE病毒概念、分类及感染方式详解 2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析

    1.5K10

    PE知识复习之PE合并节

    PE知识复习之PE合并节 一丶简介    根据上一讲.我们为PE新增了一个节. 并且属性了各个成员中的相互配合. 以前我们讲过PE扩大一个节怎么做. 合并节跟扩大节类似. 只不过一个是扩大. 一个是合并了. 合并节的步骤.   1.修改文件头节表个数   2.修改节表中的属性     节.sIzeofRawData 节数据对齐后的大小.   3.修改扩展头中PE镜像大小 SizeofImage   4.被合并的节以 最后一个节表以0填充即可.   3.修改扩展头的PE镜像大小. SizeofImage ? 我们上一讲新增了一个节.所以映像大小为0x1E000.

    41520

    制作Win11PE用于云服务器

    制作winpe的软件很多,我自己已经习惯用WimBuilder2,网上制作Win11PE的资料很少很少,这个完全是我摸索出来的,分享给有缘人。 这样来调整:把config目录的SYSTEM和DEFAULT注册表挂出来进行修改,步骤如下先把鼠标放到HKEY_LOCAL_MACHINE,然后"文件 → 加载配置单元" → 选择C:\boottmp\Windows HKEY_LOCAL_MACHINE\aaa\Keyboard Layout\Preload" /v "2" /d 00000804 /t REG_SZ /f图片图片如法炮制,再把C:\boottmp\Windows 桌面背景图位置有2处Wallpaper.zipProgram Files\WinXShell\图片Windows\Web\图片图片图片一般来说从内存加载,需要的内存大小=WinPE.ISO文件本身的大小 ,鲜有Win11PE

    38240

    PE知识复习之PE的导入表

    PE知识复习之PE的导入表 一丶简介   上一讲讲解了导出表. 也就是一个PE文件给别人使用的时候.导出的函数 函数的地址 函数名称 序号 等等.    一个进程是一组PE文件构成的. PE文件需要依赖那些模块.以及依赖这些模块中的那些函数.这个就是导入表需要做的. 确定PE依赖那个模块. 确定PE依赖的那个函数. 以及确定函数地址. PE加载前加载后的区别. 一样是一样的.但是需要分清 PE加载前.还有PE加载后.如果加载前,那么IAT跟INT一样.都可以找到依赖的函数名称. PE加载后如下图: ? IAT表保存的就是函数地址了. 从导入表中找到IAT表. ? IAT表的RVA 偏移为 0x1A098 VA == 41A098 ? PE加载后INT 表同上. IAT表变成了存储函数地址的地址表了.   2. Name 民称表. 直接指向DLL名称文件名.

    42520

    PE知识复习之PE新增节

    PE知识复习之PE新增节 一丶为什么新增节.以及新增节的步骤     例如前几讲.我们的PE文件在空白区可以添加代码.但是这样是由一个弊端的.因为你的空白区节属性可能是只读的不能执行 我们新增的节.自己需要在PE文件添加一段节数据.数据的大小按照文件对齐添加. 并且填写到这个成员中.     6.修改扩展头的PE镜像大小. sizeofImage. 这个成员才是关键.如果不按照内存对齐修改镜像大小.那么我们的节就不会映射到内存中.或者PE文件根本无法执行. 二丶根据新增节步骤.实战手工添加一个节.     1.添加一个节表         添加节表的时候.需要在最后一个节后面添加.随便哪一个PE文件举例 ?      跳转过去之后发现就是我们刚才填写FFFF的数据.已经成功映射了.至此我们就为这个PE文件新增了一个节.

    50730

    PE知识复习之PE扩大节

    PE知识复习之PE扩大节 一丶为什么扩大节   上面我们讲了,空白区添加我们的代码.但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大节.    并且在PE文件中添加0数据进行填充即可. Characteristics;          //节的属性 } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; 二丶扩大节实战以及注意问题   PE 还要修改扩展头中的 SizeofImage(内存PE镜像大小) 三丶扩大节实战   1.添加数据   随便找一个PE文件.在最后文件偏移处添加数据. 但是注意,修改之后并不能直接查看.因为PE没法运行.我们必须修改扩展头中的sizeofImage属性.这样我们的内存镜像大小才是真正的大小.

    44030

    PE知识复习之PE的节表

    PE知识复习之PE的节表 一丶节表信息,PE两种状态.以及重要两个成员解析.   确定节表位置: DOS + NT头下面就是节表.    Characteristics;          //节的属性 } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; 节表重要成员都标红了.我们知道.PE 以及文件展开后.节数据在文件中的那个偏移位置. 1.内存中节开始的位置 我们分别以PE两种状态.来加深一下.在内存中跟文件中节数据起始位置. 这也解释了PE在内存中展开跟在文件中是不一样的. 也加深了节表中 VirtualAddress成员 以及 PointerToRawData成员了.

    43220

    PE知识复习之PE的重定位表

    PE知识复习之PE的重定位表 一丶何为重定位       重定位的意思就是修正偏移的意思. 如一个地址位 0x401234 ,Imagebase = 0x400000 . 首先我们知道.一个EXE文件.会调用很多DLL(PE) 有多个PE文件组成. exe文件启动的基址 (ImageBase) 是0x40000. 假设我们调用三个DLL A B C. 但是我们知道.PE文件中有很多RVA .RVA 是相对于ImageBase的偏移进行存放的. 如果PE文件中都是 RVA 那就好办了. 但是不一定呀. 如一下代码所示: #include <stdio.h> #include <stdlib.h> #include <Windows.h> int g_Value; int main() { g_Value 所以修复的位置是 0x116b0的位置. 0x116b0 + 当前PE文件的ImageBase就是要进行重定位的位置 当前PE的Imagebase为0x400000 重定位地方为 0x4116b0位置

    66230

    PE知识复习之PE的导出表

    PE知识复习之PE的导出表 一丶简介  在说明PE导出表之前.我们要理解.一个PE可执行程序.是由一个文件组成的吗. 答案: 不是.是由很多PE文件组成.DLL也是PE文件.如果我们PE文件运行.那么就需要依赖DLL.系统DLL就是Kerner32.dll user32.dll等等.这些都是PE文件. 什么是导出表:     导出表就是当前的PE文件提供了那些函数.给别人用. 举个例子: PE文件相当于一个饭店.那么菜单就是导出表. 所以我们需要转换为FOA 去PE文件中查看. RVA 判断在那个节. 如果在内存中.我们直接RVA + 当前PE的ImageBase就可以看到函数导出的名称了.不过我们现在算一下.

    71920

    PE框架学习之道:PE框架——style的配置

    <param name=“option”>false</param> –是否可以为空,不写就默认为false

    17220

    PE知识复习之PE的绑定导入表

    PE知识复习之PE的绑定导入表 一丶简介   根据前几讲,我们已经熟悉了导入表结构.但是如果大家尝试过打印导入表的结构. INT IAT的时候. 会出现问题. PE在加载前 INT IAT表都指向一个名称表. 这样说是没错的. 但是如果你打印过导入表.会发现一个问题. 有的EXE程序.在打印IAT表的时候.发现里面是地址. 原因:   我们的PE程序在加载的时候.我们知道. PE中导入表的子表. IAT表.会填写函数地址. 但是这就造成了一个问题.PE程序启动慢.每次启动都要给IAT表填写函数地址.    优点:   PE程序启动变快. 缺点:   如果DLL的ImageBase变了.那么就需要进行重定位.因为在文件中你填写的地址是固定的地址. PE的文件名 WORD NumberOfModuleForwarderRefs;        //依赖的另外的DLL有几个 // Array of zero or more IMAGE_BOUND_FORWARDER_REF

    53720

    PE刷题记

    PE 中文翻译 最喜欢做这种很有意思的数学题了虽然数学很垃圾 但是这个网站的提交方式好鬼畜啊qwq 1.Multiples of 3 and 5 直接枚举 2.Even Fibonacci numbers

    30240

    PE文件简介

    PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行 它是跨win32平台的,只要运行在Windows上,不管是在什么体系的CPU上都可以运行 PE文件使用平面的地址空间,所有代码和数据都合并在一起,组成一个很大的结构,文件的内容被分为不同的区块,块中包含代码和数据 文件大致结构如下图所示: 一般在说到PE文件时都会涉及到以下几个名词 基地址(ImageBase):PE文件被加载到内存中的首地址,是这个模块的句柄,可以使用函数GetModuleHandle 来获取 文件的偏移地址:PE文件中各个部分相对于文件头的偏移 相对虚拟地址(RVA):PE结构被映射到内存中后,某个位置所在内存相对于基地址的偏移 一般可执行文件被PE加载器加载到内存中后, 文件的基本格式不会发生改变,只是会将各个块按照页来进行对其,PE文件在磁盘与在内存中的对应关系大致如下图所示: image.png

    69420

    PE知识复习之PE的两种状态

    PE知识复习之PE的两种状态 一丶熟悉PE的整体结构 ? 从下面依次网上看.可以得出PE结构 其中DOS头有DOS头结构 也就是 IMAGE_DOS_HEADER 关于结构体的各项属性.前边已经写过了.本系列博客就是加深PE印象.理解复杂的原理. 操作系统会以检查这个标识.判断是否是PE文件. PE偏移 0x00000138 大小是4个字节.指向PE头. NT头中的PE标识.操作系统不光检查MZ 也检查PE. 填写AAAA的地方是对其后没有使用的.所以我们如果熟悉PE可以添加任何成员进去. 八丶PE中的两种状态 根据上面简单了介绍了一下PE的存储结构.也知道了节数据跟节数据之间.都是根据文件对齐存放的. 九丶总结PE中的两种状态. PE分为文件状态.跟内存状态. 文件状态下. 根据扩展头下面的文件对齐值. 以及记录对其头的大小进行存放的.

    29860

    PE知识复习之PE的各种头属性解析

    PE知识复习之PE的各种头属性解析 一丶DOS头结构体 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header LONG e_lfanew 这个成员指向PE头.也很重要. 如果上面两个成员更改了.那么文件就不能运行了. 二丶NT头解析   NT头也是我们所指的PE头. (PE) 例如: ? 操作系统会检查PE头.以及MZ头.检查是否是正确的值. 而NT头中有两个子结构体.一个是文件头.一个是扩展头.这两个头比较重要. 文件加载到内存中的基址.这个值是64k的倍数.DLL默认值是0x100000000,应用程序默认是0x00400000 windows WORD MajorImageVersion; //PE主版本号 WORD MinorImageVersion; //PE次版本号 WORD

    50240

    PE知识复习之PE文件空白区添加代码

    PE知识复习之PE文件空白区添加代码 一丶简介   根据上面所讲PE知识.我们已经可以实现我们的一点手段了.比如PE的入口点位置.改为我们的入口位置.并且填写我们的代码.这个就是空白区添加代码 并且load的是我们的DLL 实现功能就是 我们只要给PE注入了代码.那么这个PE程序一旦启动就会加载我们的DLL 关于PEDLL注入,后面会有博客分类中会讲解.此时首先讲解怎么在我们的空白区添加我们的代码 比如指向PE文件中0x2开始的位置. 也就是 MZ成员后面的字节. DOS就两个重要成员.其余的位置我们可以随便使用. 因为E9后面是偏移. 所以我们要跳转到PE中0x2的位置. 但因为PE在内存中展开的时候.是以Imagebase成员为基址进行展开的.所以我们要跳转的位置是 0x00400002的位置. 计算一下偏移公式.

    51610

    逆向初级-PE(五)

    可执行文件的格式: Windows平台: PE(Portable Executable)文件结构 Linux平台: ELF(Executable and Linking Format)文件结构 哪些领域会用到PE文件格式: <1>病毒与反病毒 <2>外挂与反外挂 <3>加壳与脱壳(保护与破解) <4>无源码修改功能、软件汉化等 2、如何识别PE文件 <1> PE文件的特征(PE指纹) <2>不要仅仅通过文件的后缀名来认定PE文件 5.2.PE文件的两种状态 1、PE文件主要结构体 ? IMAGE_DOS_HEADER占64个字节。 IMAGE_DOS_HEADER尾部到PE文件头开始的中间部分是DOS_Sub部分(大小不固定) PE文件头标志:PE头是前面4个字节 PE文件表头:IMAGE_FILE_HEADER是20个字节 扩展 5.14.导入表_确定函数地址 PE文件加载前 ? PE文件加载后 ?

    53530

    PE文件详解(三)

    本文转自小甲鱼的PE文件详解系列传送门 PE文件到内存的映射 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。 也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 Windows 装载器在装载DOS部分、PE文件头部分和节表(区块表)部分是不进行任何特殊处理的,而在装载节(区块)的时候则会自动按节(区块)的属性做不同的处理。 事实上,Windows 系统对内存属性的设置是以页为单位进行的,所以节在内存中的对齐单位必须至少是一个页的大小。 不进行映射的节: 有些节并不需要被映射到内存中,例如.reloc节,重定位数据对于文件的执行代码来说是透明的,无作用的,它只是提供Windows 装载器使用, 执行代码根本不会去访问到它们,所以没有必要将他们映射到物理内存中

    39230

    扫码关注腾讯云开发者

    领取腾讯云代金券