可移植可执行文件(PE)格式是COFF的修改,是Windows操作系统下可执行二进制文件的文件格式。 PE格式很容易通过其“MZ DOS头”(0x4d 0x5a,“MZ”代表“Mark Zbikowski”)识别。
学习一些 nasm 和我的汇编项目的文件格式。我目前对 SizeOfHeaders 感到非常困惑。 看一下官方文档: PE头和节的大小...
我需要检查文件是否是PE文件。我需要检查前两个字节是否为 MZ,我这样做了。 这是我的任务:验证PE格式时,不仅要根据MZ表达式,还要
PE文件(PE/COFF)有什么要求?至少应该设置哪些字段、哪些值,以使其能够在 Windows 上“运行”(即执行“ret”指令...
我想列出PE(可移植可执行文件)中的所有导出函数。 这是一些代码: PIMAGE_DOS_HEADER dos_header = (PIMAGE_DOS_HEADER)PE_Header; PIMAGE_NT_HEADERS32 ntHeader = (PIMAGE_NT_HEA...
MS 文档说 BaseOfCode 值仅存在于 PE 文件中,而不存在于 PE+ 中。使用 dotPeek 和 PE 查看器查看 notepad.exe 似乎表明存在 BaseOfCode...
在 Windows PE 文件中,当 2 个部分具有相同的原始地址时会发生什么?
我正在查看一个用 UPX 打包的 PE 可执行文件,各个部分的布局如下: UPX0:原始地址:0x400,原始大小:0x0,虚拟地址:0x1000,虚拟大小:0x6000 UPX1:原始地址:0...
我正在学习分析pe文件,我已经了解了可执行映像中可选标头中的校验和以及如何使用它来检查驱动程序和系统dll的验证。我检查了一些...
使用CFF explorer和msdn doc解析PE文件以查找导出表地址
我正在处理一个PE文件,我尝试在IDA中解释这一行: v4 = *(_DWORD *)((char *)库A + *((_DWORD *)库A + 15) + 120); LibraryA是PE文件的基地址 *((_DWORD *)库A...
我尝试过这段代码: HMODULE hModule = LoadLibrary(argv[1]); PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)hModule; PIMAGE_NT_HEADERS ntHeaders = (PIMAGE_NT_HEADERS)((DWORD_PTR)hM...
从 .rdata 部分删除 IMAGE_DEBUG_DIRECTORY
如何从 PE 的 .rdata 部分删除 IMAGE_DEBUG_DIRECTORY 数据? 我正在使用 MS Visual Studio 2015。我确实检查了项目属性的几乎所有编译选项。但是 IMAGE_DEBUG_DIRECTORY 数据
只是尝试创建一个新部分并使用 #pragma 设置他的属性会返回此警告: 警告 C4330:忽略节“.mysec”的属性“write” 简单代码: #包括 只是尝试创建一个新部分并使用 #pragma 设置他的属性返回此警告: 警告 C4330:忽略部分“.mysec”的属性“write” 简单代码: #include <windows.h> #include <stdio.h> #pragma section(".mysec",execute,read,write) __declspec(allocate(".mysec")) UCHAR var[] = {0xDE, 0xAD, 0xBE, 0xEF}; void main() { return; } 链接器选项:/DYNAMICBASE:NO、/FIXED、/NXCOMPAT:NO、/OPT:NOREF 操作系统/工具:Win x64 / msvc++ 110 我在 MSDN 上阅读了一些文章,特别是这篇 http://msdn.microsoft.com/en-us/library/50bewfwa(v=vs.110).aspx 但没有找到答案。 谢谢。 我认为这是由于 execute 标志造成的。我不认为你可以有一个包含 Windows 中可写代码的部分。 我可能记错了,但这会是一个安全问题,因此不支持。 您可以使用链接器命令行 -> /SECTION:.mysec,RWE,完美运行。 您还可以使用 CFF Explorer 等工具将节标志更改为 E0000040 或手动解析 PE 文件并更改它。
有没有一种方法可以在一般情况下结合 ELF、Mach-O 和 PE 编译代码,这样所有现代系统都可以有一个“二进制”文件? (Windows、macOS、Linux) 我记得有一些古老的故事
有人可以建议我如何使用 python 获取导入地址表 并从PE导出地址表?我目前使用 pefile 模块,但不确定我是否可以使用它来获取 IAT 和 EAT。 非常感谢...
它不是PE文件的重复:IMAGE_DEBUG_TYPE_VC_FEATURE类型的调试目录。它在 0 到 16 之间。 我正在尝试解析 PE 标头及其目录,作为 IMAGE_DATA_DIRECTORY 结构...
在PE头中,有一个导入目录,它描述了加载器应该在哪里绑定导入的符号。更确切地说: typedef 结构 _IMAGE_IMPORT_DESCRIPTOR { 联盟{ 双字
解释在 Windows 64 位系统上运行的 32 位二进制文件中的 fs 寄存器
我在Windows 64位系统上运行的32位二进制文件中找到了以下代码: mov eax,dword ptr fs:[18] mov ecx,双字指针 [eax+F70] mov eax,dword ptr [ecx+78] 雷特 好像又回来了...
为什么现代 C/C++ 编译器将额外未使用的数据放入输出二进制文件中?
我是一名低级开发人员和逆向工程师。在调查使用不同编译器(例如适用于 Windows 的 LLVM GCC/G++)编译的恶意软件和软件时,我发现现代编译器将
//我用来在 tls 目录中查找回调的偏移量 unsigned int offset = (tls_directory64.AddressOfCallBacks - nt_headers64.optional_header64.ImageBase) - tls_virtual_address + tls_offset;...
如何判断 Windows (PE) 可执行文件是否有调试符号?
我想要反转的大多数可执行文件都是较旧的可执行文件,因此它们可能具有嵌入式符号,而不是将它们放在 pdb 文件中。 我在 Linux 上,所以一个可以在 L 上运行的工具...
抛出异常:读取访问冲突。 **thunkData** 是 0x13E6CC3
我正面临读/写访问冲突的问题。有人可以帮我吗?我已经阅读了很多论坛以找到解决方案,但没有成功。 这是我的代码中的函数。 无效