PE文件分析
关注
分享
扫一扫
文章平均质量分 67
Puzz1e
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
(转)静态分析:IDA逆向代码段说明 text、idata、rdata、data
原文地址:http://hi.baidu.com/caibirdy1985/item/a275df1ae9fa87693e87ce42通常IDA对一个PE文件逆向出来的代码中,存在四个最基本的段text、idata、rdata、data,四个段为PE文件的结构中对应的段。一、text段:该段位程序代码段,在该段一开始就可以看到:.text转载 2013-05-14 14:46:22 · 2490 阅读 · 1 评论 -
浅析PE文件感染
作 者: zyhfut时 间: 2010-12-27,21:21:28链 接: http://bbs.pediy.com/showthread.php?t=127202PE文件感染,早已不是什么新鲜的话题。论坛中也有很多反复摧残PE文件的文章。这段时间在看病毒方面的知识,所以重新温习了下PE文件的结构,介绍PE结构的帖子很多,我就不详细介绍了,再介绍也不一定由牛人们介绍的详细。转载 2013-05-15 12:56:32 · 1699 阅读 · 0 评论 -
深入解析PE文件结构之导出表获取
http://blog.youkuaiyun.com/yiyefangzhou24/article/details/7268319最近有时间坐下来仔细研究一下PE文件结构了,以前遇到这种问题时总是拆东墙补西墙。学的不够透彻。几天来一番研究之后,和大家分享一下。PE的文件结构从DOS头开始,其主要作用就两个一个是若是在DOS环境下输出一句话。另一个作用就是找到PE文件头的位置,这是我们要关心转载 2013-05-15 12:49:06 · 745 阅读 · 0 评论 -
PE结构导出表详细解析
原文地址:http://blog.youkuaiyun.com/evi10r/article/details/7216467只码重点DLL导出方式:按名称导出:1.__declspec(dllexport) 2.LIBRARY DLLEXPORTS FuncDll 按序号导出:LIBRARY DLLEXPORT转载 2013-05-15 12:45:42 · 801 阅读 · 0 评论 -
驱动感染技术扫盲(C描述)
http://blog.youkuaiyun.com/yeahhook/article/details/8732389驱动感染技术扫盲(C描述) Writer By 老Y上周的上周的....周末有位同学提到过驱动感染问题,而刚好周末也没有地方可去,所以就有了这篇文章的出现.既然是扫盲版,那肯定是没有什么高深的东西了,只是一些奇淫技巧,高手请自动跳过。好了,回归正题,很多年前(其实也就4,转载 2013-05-16 09:53:25 · 599 阅读 · 0 评论 -
汇编fs段
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针转载 2013-05-15 13:02:42 · 2177 阅读 · 0 评论 -
Win 7下定位kernel32.dll基址及shellcode编写
链 接: http://bbs.pediy.com/showthread.php?t=122260 Win 7下定位kernel32.dll基址及shellcode编写Author:CryinData:2010.10.14Blog:http://hi.baidu.com/justear 为了使shellcode在多种操作系统平台下都可以正常转载 2013-05-15 12:59:27 · 1202 阅读 · 0 评论 -
解析PE结构之-----导出表
链 接:http://bbs.pediy.com/showthread.php?t=122632在PE结构中最复杂的就是PE结构中的16个目录,如导入目录,导出目录,重定位目录,资源目录等等。对于病毒分析来说,最为重要的是导入目录和导出目录。在我的手写可执行程序的文章中已经介绍了导入目录。此篇文章将介绍导出目录。 我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调转载 2013-05-15 12:48:13 · 823 阅读 · 0 评论 -
PE手工分析-导入表和导入函数地址表分析
原文地址:http://www.cnblogs.com/SkyMouse/archive/2012/05/10/2493775.htmlPE手工分析-导入表和导入函数地址表分析在上篇:PE手工分析-PE头 中我们了解了PE文件头内容,在此基础上我们来分析一下导入表和导入函数地址表的内容.还是使用上篇使用的PE文件来分析,上一篇中我们基本上已经定位出PE头的位置以及相转载 2013-05-15 12:47:13 · 1027 阅读 · 0 评论 -
PE文件感染术
这次,作者将和大家一起讨论病毒的感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受其中精妙的思想与编程技艺。 在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和FindNextFile开始遍历其下以及其子目转载 2013-05-15 12:55:17 · 1644 阅读 · 0 评论 -
在win7下kernel32.dll地址获取
#include #include __inline __declspec(naked) unsigned int findkerneldll(){ __asm{ push esi push edi push ecx xor ecx, ecx mov esi, fs:0x30 mov esi, [esi + 0x0c]转载 2013-05-15 13:01:00 · 2463 阅读 · 0 评论 -
PE File中取Section,用RVA还是用PointerToRawData?
http://blog.youkuaiyun.com/qiqi5045/article/details/7736576在Dump PE File的section table时候,一开始选用RVA来计算section的地址,以期望能取到Section信息,后来发现不完全正确,应该用http://blog.youkuaiyun.com/qiqi5045/article/details/7736576Pointer转载 2013-05-15 13:03:41 · 1130 阅读 · 0 评论 -
Hacking/Shellcode/kernel32
http://skypher.com/wiki/index.php/Hacking/Shellcode/kernel32Hacking/Shellcode/kernel32▼Main Page├─▷Programming└─▼Hacking ├─▼Shellcode │ ├─▷Bind │ ├─○Restricted ins转载 2013-05-15 04:57:23 · 864 阅读 · 0 评论