可移植可执行文件(PE)格式是COFF的修改,是Windows操作系统下可执行二进制文件的文件格式。 PE格式很容易通过其“MZ DOS头”(0x4d 0x5a,“MZ”代表“Mark Zbikowski”)识别。
我有一个WinCE6000 OSDesign,但由于历史原因,文件夹下有MS不推荐的修改和额外模块。所以我们开始移动所有不属于 ori 的东西...
PE - DOS 签名 (MZ) 和 Little Endian
这不是一个严重的问题,但我很好奇为什么DOS签名是0x5A4D而不是0x4D5A DOS Header 的第一个成员是 MZ,它是由 Mark Zbikowski 命名的 DOS 签名。 下面的代码是DOS的部分
我一直在寻找某个 cl 标志,它可以生成一个可执行文件,而无需任何其他调试信息,我需要尽可能优化我的项目注册所使用的空间...
我希望将下面编译的c++代码转换为shellcode #包括 int main() { std::cout << "hello world" << std::endl; return 0; } I have a basic ...
我想使用官方程序以编程方式在 Windows 中安装 Edge MSI Edge 安装程序(151 MB),但避免使用管理员权限,并将提取的文件放在自定义文件夹中(n...
我刚刚了解到ImageBase是以PE格式指定的,操作系统会将其加载到.EXE的确切位置,那么问题来了: 如果两个 .EXE 需要相同的 ImageBase 位置怎么办?
Windows 是否有一个可以在命令 shell 中运行并返回可执行 (.exe) 文件版本号的可执行文件? 我看到很多问题都展示了如何从不同的角度进行操作
为什么退出代码是这样的以及为什么调用的第一个字节是 0x0000 然后是“printf”
我目前正在反转最小的pe文件。这是我分析的: 程序打印*268b通用微型PE 并返回退出代码 26(这是字符串长度) (1): Magic DOS 签名...
我正在尝试从PE文件恢复导入的函数。该代码在反汇编的 .text 部分中查找调用指令,然后根据函数检查调用目标地址
如何检测 Windows PE 可执行文件是用于本机代码还是托管代码?
我一直在分析 Windows PE 可执行文件的二进制文件格式。 我知道如何区分 PE32(32 位)与 PE32+(64 位)以及如何区分 x86 与 x64。 但我知道托管代码使用...
在十六进制编辑器中查看PE文件时,我经常遇到节表和第一节之间的一些字节,这对我来说并没有什么意义。就我而言,应该...
我正在尝试编译包含 CPAN 模块(特别是 YAML 模块)的可移植版本的 perl。我打算能够将此便携式版本复制到许多 Redhat Li 上的主目录中...
我正在用 Rust 制作一个打包器。打包器/src/main.rs: #[link_section = ".pe"] #[用过的] 静态 mut PE: &[u8] = &[]; fn 主() { 不安全{ rspe::reflective_loader(常见::
文件夹结构 所以我有一个仅调用 require.py 的主脚本。 require.py 负责调用 Essentials 文件夹中的所有必要的支持文件。
我了解什么是 __ImageBase 以及如何使用它。 __ImageBase 是 IMAGE_DOS_HEADER 类型的外部对象,它是表示可移植可执行映像的 DOS 标头的结构。这个
今天我在解析 Windows 可移植可执行文件结构时遇到了一个非常奇怪的问题。具体在导出表中。 我发现自己得到了一个堆栈
Windows MSI/安装程序可以用于 PE 格式的便携式文件吗?
我正在尝试确定 Windows MSI 或安装程序 .exe 是否被视为与可移植可执行文件 (PE) 格式的可移植文件 .exe 相同,或者是否被视为植入程序。什么是
警告 - 这是一个相当长的问题。 背景 我正在开发一个用于检测 pe 文件的小项目。目前我的主要重点是扩展可执行文件的 .text 部分。不添加新的
IDA 将文件检测为 Windows 和 MS-DOS 程序
好吧,我有一个相当可疑的文件,它甚至对我的电脑进行了一些控制。但是,我需要它,所以我决定反编译它,看看它是否会损害我的电脑,我可以将其删除吗? 我用过
好吧,我有一个相当可疑的文件,它甚至对我的电脑进行了一些控制。但是,我需要它,所以我决定反编译它,看看它是否会损害我的电脑,我可以将其删除吗? 我用过