原著:Bernd.Luevelsmeyer　　　　　　　　　　　　　　　　　翻译:ah007　　[注意:本译文所有大小标题序号都是译者添加以方便大家阅读圆圈内数字是注释编号其中注释②译自微软PECOFF规范标准其它译自网络----译者]　　、前言(Preface)　　------------------　　PE(“portableexecutable”可移植可执行文件)文件... [阅读全文]

整理总结下:如果你想从“knurr”DLL中查找输入“foo”信息第步你先找到数据目录中IMAGE_DIRECTORY_ENTRY_IMPORT(输入目录项)项得到个RVA再在原始节数据中找到那个地址现在你就得到个IMAGE_IMPORT_DESCRIPTOR(输入描述结构)了通过查看根据它们“名称”被指向串得到和&ldquo... [阅读全文]

正如你所见我计划只用2个节个用于代码个用于所有剩余东西(数据、常量和输入目录等)没有重定位和象资源的类其它东西我也不用BSS节并将变量“written”放入已化数据文件和RAM中节对齐都是样(32字节)；这将有助于使任务简单否则我就得来回地计算RVA很多次　　现在我们设置数据目录开始于0xb8字节有0x80字节长:　　　地址　　　　　大小　　00000000　　000000... [阅读全文]

=　　|“PE文件格式”1.9版注释:|　　=　　①Win32s和Win32　　Win32s是“WIN32sub”缩写它是个可被加入到Windows3.1和WindowsforWorkgroups系统中以使它们能够运行32位应用软件Software包正如它名字所暗示那样Win32s只是Windows95和WindowsNT系统中使用Win32API个... [阅读全文]

介绍说明:希望本文能够对初级入门CRACKER有定帮助翻译存在疏漏或者不准确希望来信指出感谢您指导！感谢看雪为我们提供这个交流平台让我们技术和时俱进！！　　前言:　　PE("portableexecutable")文件格式是针对MSwindowsNT,windows95and　　win32s可执行 2进制代码(DLLsandprograms)在windowsNT内,驱动也是这个格式也可以用于对象文... [阅读全文]

下面个成员是PhysicalAddress和VirtualSize32位联合体.在目标文件该地址是内容被重定位地址在可执行文件内是内容尺寸实际上该域好像没有被使用有链接器填入尺寸有链接器填入地址有链接器填入0　　下个成员是VirtualAddress,32位保存当节数据加载入内存时RVA　　然后是32位SizeOfRawData,是 4舍 5入到下个FileAlignment倍数大小　　下个是Po... [阅读全文]

ID意义依赖和在树内层次ID可能是个数字(高位清0)或者名字(高位置1)如果是名字低31位是从资源节原始数据开始到名字偏移量名字是16位长度以宽结尾不是0　　如果在根目录下如果ID是数字是资源类型:　　1:cursor　　2:bitmap　　3:icon　　4:menu　　5:dialog　　6:table　　7:fontdirectory　　8:font　　9:accelerators　　10:... [阅读全文]

PE 教程 3: File Header (文件头) 　　本课我们将要研究 PE header file header (文件头)部分　　至此我们已经学到了哪些东东先简要回顾下 :DOS MZ header 又命名为 IMAGE_DOS_HEADER . 其中只有两个域比较重要 : e_magic 包含串 "MZ" e_lfa 包含 PE header 在文件中偏移量 比较 e_magic 是... [阅读全文]

教程1 : PE 文件格式览 　　考虑到早期写 PE 教程 1 是自己所有教程中最糟糕篇此番决心彻底重写篇以飨读者　　PE 意思就是 Portable Executable (可移植执行体)它是 Win32 环境自身所带执行体文件格式它些特性继承自 Unix Coff (common object file format) 文件格式 "portable executable" (可移植执行体)意... [阅读全文]

分析 : 　　本例重用了 PE 教程 2 代码校验 PE 文件有效性后继续 ShowSectionInfo 显示各节信息ShowSectionInfo proc uses edimov edi, pMappingassume edi:ptr IMAGE_DOS_HEADERadd edi, [edi].e_lfaassume edi:ptr IMAGE_NT_HEADERS　　我们将 edi 用作... [阅读全文]

举例 : 　　本例程打开 PE 文件将所有引入名读入编辑Control控件同时显示 IMAGE_IMPORT_DESCRIPTOR 结构各域值.386.model flat,stdcalloption map:none masm32windows.inc masm32kernel32.inc masm32comdlg32.inc masm32user32.inclib masm32libuser3... [阅读全文]

PE教程7: Export Table(引出表) 　　上课我们已经学习了动态联接中有关引入表那部分知识现在继续另外部分那就是引出表理论 : 　　当PE装载器执行个它将相关DLLs都装入该进程地址空间然后根据主引入信息查找相关DLLs中真实地址来修正主PE装载器搜寻是DLLs中引出　　DLL/EXE要引出个给其他DLL/EXE使用有两种实现思路方法: 通过名引出或者仅仅通过序数引出比如某个DLL要引... [阅读全文]

段头部 　　 PE文件格式中，所有的段头部位于可选头部之后。每个段头部为40个字节长，并且没有任何的填充信息。段头部被定义为以下的结构： //WINNT.H#define IMAGE_SIZEOF_SHORT_NAME 8typedef struct _IMAGE_SECTION_HEADER {UCHAR Name[IMAGE_SIZEOF_SHORT_NAME]; union { ... [阅读全文]

认识PE文件，既要懂得它的结构布局，又要知道它是如何装载到计算机内存中的。下面分别对它们进行说明。2.2.1 PE文件结构布局找到文件中某一结构信息有两种定位方法。第一种是通过链表方法，对于这种方法，数据在文件的存放位置比较自由。第二种方法是采用紧凑或固定位置存放，这种方法要求数据结构大小固定，它在文件中的存放位置也相对固定。在PE文件结构中同时采用以上两种方法。 因为在PE文件头中的每个数据结... [阅读全文]