本文介绍了PE文件的基本结构及如何通过特定API如GetWindowThreadProcessId、OpenProcess和WriteProcessMemory进行进程句柄获取与内存操作。同时,文中详细解释了PE文件中各节点的属性,包括虚拟偏移、虚拟大小、实际偏移等概念,并说明了这些属性在内存映射中的作用。
把窗口句柄转换成PID
Getwindowthreadprocessid
打开进程句柄
Openprocess
写内存
writeprocessmemory
pe结构
节点 虚拟偏移 虚拟大小 实际(物理)偏移 实际大小 节的属性(flags)
flags& flags value =数据读写进行设置属性
节点=区段
工具使用 peid
pe details
映像大小 =最后节点地址+虚拟大小=得到数-基值
节对齐是1000为倍数 文件对齐是200为倍数
pe节的物理大小事实际的偏移大小
输入表就是3个系统的dll ,每个dll使用的系统的函数都显示
od 中的E 快捷键会显示使用的dll
程序结构
1.先dos结构 2 pe结构
注意16进制 从后往前读取 字节读取顺序 左右 左右
Dword 占四个十六进制数据 word 占两个十六进制数据
Getwindowthreadprocessid
打开进程句柄
Openprocess
写内存
writeprocessmemory
pe结构
节点 虚拟偏移 虚拟大小 实际(物理)偏移 实际大小 节的属性(flags)
flags& flags value =数据读写进行设置属性
节点=区段
工具使用 peid
pe details
映像大小 =最后节点地址+虚拟大小=得到数-基值
节对齐是1000为倍数 文件对齐是200为倍数
pe节的物理大小事实际的偏移大小
输入表就是3个系统的dll ,每个dll使用的系统的函数都显示
od 中的E 快捷键会显示使用的dll
程序结构
1.先dos结构 2 pe结构
注意16进制 从后往前读取 字节读取顺序 左右 左右
Dword 占四个十六进制数据 word 占两个十六进制数据
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
