Windows PE-阿里云

9.4 Windows驱动开发：内核PE结构VA与FOA转换

本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还是需要用到《内核解析PE结构导出表》中所封装的KernelMapFile()映射函数，在映射后对其P...

9.3 Windows驱动开发：内核解析PE结构节表

在笔者上一篇文章《内核解析PE结构导出表》介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中LyShark封装实现了KernelMapFile()内存映射函数，在之后的章节中这个函数会被多次用到，为了减少...

9.2 Windows驱动开发：内核解析PE结构导出表

在笔者的上一篇文章《内核特征码扫描PE代码段》中LyShark带大家通过封装好的LySharkToolsUtilKernelBase函数实现了动态获取内核模块基址，并通过ntimage.h头文件中提供的系列函数解析了指定内核模块的PE节表参数，本章将继续延申这个话题，实现对PE文件导出表的解析任务，...

[笔记]Windows PE文件类型

前言PE文件类型可执行：EXE，SCR驱动程序：SYS,VXD库：DLL,OCX,CPL,DRV对象文件：OBJ详细介绍可执行EXESCR驱动程序SYSVXD库DLLOCXCPLDRV对象文件OBJ区别与不同总结

[读书][笔记]WINDOWS PE权威指南《零》PE基础

参考：https://zhuanlan.zhihu.com/p/47075612https://docs.microsoft.com/zh-cn/windows/win32/debug/pe-format<加密与解密第4版><Windows PE 权威指南>PE 基础概念P...

[读书][笔记]WINDOWS PE权威指南《三》PE的原理和基础之第三章 PE文件头（下）

3.4.7　数据目录项——IMAGE_DATA_DIRECTORYIMAGE OPTIONAL HEADER32（扩展PE头）结构的最后一个字段为DataDirectory。该字段定义了PE文件中出现的所有不同类型的数据的目录信息。如前所述，应用程序中的数据被按照用途分成很多种类:导出表、导入表、资...

[读书][笔记]WINDOWS PE权威指南《三》PE的原理和基础之第三章 PE文件头（中）

3.3.2　32位系统下的PE结构在16位系统中，PE头和PE数据部分被当成是冗余数据；在32位系统中，刚好相反，即 DOS头成为冗余数据。所谓冗余，是针对DOS头不参与32位系统运行过程而言的。尽管该部分不参与运行，但也不能把这些数据从PE结构中除去。因为在DOS MZ头中有一个字段非常重要，即I...

[读书][笔记]WINDOWS PE权威指南《三》PE的原理和基础之第三章 PE文件头（上）

前言PE文件头是PE（PE文件头＋PE文件体）的一部分，PE常常用来记录和标识PE信息，包括PE入口地址（OEP），节表（Section　Table），一般，PE文件头由以下几部分组成：DOS头PE头节表DOS头&#...

[读书][笔记]WINDOWS PE权威指南《一》PE的原理和基础之第一章环境搭建及简单破解（下）

1.2.1 调试helloworld.exe1.认识OD组成OD工作区：指令及指令解释区寄存器及运行状态区代码和数据字节码区栈区指令解释区指令及指令解释区（以下称①区)该区域位于整个界面的左上角，共包含四列。分别为指令所在的内存地址、指令字节码、反汇编后的指令语句，以及指令相关的注释。OD的强大之处...

[读书][笔记]WINDOWS PE权威指南《一》PE的原理和基础之第一章环境搭建及简单破解（上）

前言前期准备开发语言：MASM V10.0工作环境：Windows XP/Vista/8/10源程序的编辑器：记事本（notepad.exe）用来编写汇编源程序Visitual Studio 2015/2017/2019也是可以的动态调试器：OllyDBG软件静态调试器：W32DASM字节码的阅读器...