可移植可执行文件(PE)格式是COFF的修改,是Windows操作系统下可执行二进制文件的文件格式。 PE格式很容易通过其“MZ DOS头”(0x4d 0x5a,“MZ”代表“Mark Zbikowski”)识别。
所以我随便黑了扫雷。我在 PE 文件中为注入的代码创建了一个新部分,但是正如您在下面的屏幕截图中看到的那样,ollydbg 合并了 PE 文件中的所有原始部分...
IMAGE_THUNK_DATA结构中Function域和AddressOfData域的区别?
我正在尝试 PE 格式的代码示例,但是有一部分代码看起来像这样 auto iatArr = (IMAGE_THUNK_DATA*)(exeBuf + offset_impAddrArr); 对于 (int i = 0; i < len_iatCallVia; ...
在 MSDN 文档中写道: 目录数量不固定。在寻找具体的之前 目录,检查可选的 NumberOfRvaAndSizes 字段 标头。 我理解为...
我正在学习masm32编程。 我正在用 masm32 制作一个简单的 PE 头读取程序,我可以打印 IMAGE_DOS_HEADER 结构的 e_magic 字段的值(MZ)。 调用 dw2hex,dosHeader.e_lfanew,...
我正在研究PE文件格式,所以我打算用汇编做一个简单的PE解析器。 我可以理解 PE 标头,但无法读取应用程序属性,例如创建、修改、MD5、SHA-1 和 ...
如何用十六进制编辑器读取PE文件的应用程序属性(VERSIONINFO)?
我正在研究PE文件格式,所以我打算用汇编做一个简单的PE解析器。 我可以理解 PE 标头,但无法读取应用程序属性,例如 ProductName、ProductVersion、
我需要将一个具有 asm 片段的 C 程序编译为 32 位 PE 文件,asm 代码以这种方式声明: __asm__("jz $ + $13; “ “jnz $ + $7; “ &quo...
我正在写一个小工具,它应该能够检查一个感兴趣的任意进程,并检查它的任何静态链接函数是否被践踏。蹦床的一个例子可能是......。
我按照微软的文档大部分,但有一些漏洞的解释,如何计算一些字段,或如何有被操作系统使用。我试图让我自己的编程......
我真的不明白为什么会出现这种情况。我能够正确解析PE格式的主要内容,除了这个。我试图打印一个特定PE使用的所有DLL。首先我得到的是...
为了在工作的exe文件中增加一个信息部分,我做了以下工作。1. 在IMAGE_FILE_HEADER中增加NumberOfSections 2. 在最后一个节头后添加IMAGE_SECTION_HEADER,内容如下......
为什么在更改了校验和,或者更改了数据部分但没有新的校验和的情况下,可执行文件仍然运行?
我有一个用Flat Assembler编译的 "Hello World "控制台应用程序。可执行文件的大小是2048字节,校验和是0x3797。我的问题是:如果我对数据部分进行修改,是否会有影响?如果我修改了数据部分,是否会影响... ...
我正在寻找一个命令行程序来将条目添加到PE文件的导入表中。我的目标是从外部DLL向我的EXE添加新的导入函数,然后使用ollydbg插入新代码...
我可以得到关于什么是操作码序列以及如何在PE32文件中找到它们的解释吗?我正在尝试从PE32文件中提取它们。
我需要以编程方式找到Windows可执行文件的默认图标(PE文件= dll,exe,com ..)。我确实知道如何遍历资源并确定什么是图标,什么光标等,但是...
我正在寻找一种使用Visual Studio编译器从C / C ++在.text部分的开头/结尾保留一些额外空间的方法。我只找到了一种关于如何在...
总结问题,因为我了解这里不允许出现寻求观点的问题,因此我将尝试使我的问题更具体。我雄心勃勃地构建我的简单Win32-i386 ...
我注意到我正在编写的某些代码中存在潜在的错误。但是,如果我使用mov ax,seg segment_name,该程序可能是不可移植的,并且只能在特定配置的一台计算机上运行, 因为...
解压缩PE文件的最佳方法是什么?我已经看过7年前的一些工具,例如Quick Unpack。还有最近的吗?还是为不同的打包程序运行不同的工具更好,因为...
我正在研究PE格式,但是在理解某些内容时遇到了麻烦……例如,在各种文档中发现签名“ PE \ 0 \ 0'必须位于文件的0x80位置,因此,...