最近由于各种原因想要研究一下PE文件，要彻底研究PE和COFF文件格式当然是非研究微软自己的技术白皮书——《Microsoft Portable Executable and Common Object File Format Specification》不可了。于是花了一点时间看看，有些心得，和大家分享一下。 首先本文不是讨论PE文件格式本身的，这属于技术规范的范畴，大家... [阅读全文]

monodis是mono发行包里的一个工具，作用类似与ms的ildasm，可以把dotnet pe文件反编译为msil文件（另外有个托管代码的实现Mono.Cecil）。这个工具的实现很简单，就是根据PE文件的格式与规范去解析。选择这个主题的原因有很多，首先PE文件作为进行分析mono的基础，毕竟这里是metadata的来源;另外通过分析msil语言，可以为后续的VM执行引擎做准备，毕竟无论是ji... [阅读全文]

介绍说明:希望本文能够对初级入门CRACKER有定帮助翻译存在疏漏或者不准确希望来信指出感谢您指导！感谢看雪为我们提供这个交流平台让我们技术和时俱进！！　　前言:　　PE("portableexecutable")文件格式是针对MSwindowsNT,windows95and　　win32s可执行 2进制代码(DLLsandprograms)在windowsNT内,驱动也是这个格式也可以用于对象文... [阅读全文]

下面个成员是PhysicalAddress和VirtualSize32位联合体.在目标文件该地址是内容被重定位地址在可执行文件内是内容尺寸实际上该域好像没有被使用有链接器填入尺寸有链接器填入地址有链接器填入0　　下个成员是VirtualAddress,32位保存当节数据加载入内存时RVA　　然后是32位SizeOfRawData,是 4舍 5入到下个FileAlignment倍数大小　　下个是Po... [阅读全文]

ID意义依赖和在树内层次ID可能是个数字(高位清0)或者名字(高位置1)如果是名字低31位是从资源节原始数据开始到名字偏移量名字是16位长度以宽结尾不是0　　如果在根目录下如果ID是数字是资源类型:　　1:cursor　　2:bitmap　　3:icon　　4:menu　　5:dialog　　6:table　　7:fontdirectory　　8:font　　9:accelerators　　10:... [阅读全文]

本部分内容:/文件解说/PE剖析图/W32dasm反汇编参考/PE剖析中所用结构参考　　大家都很清楚了解可执行文件结构有多么重要DOS下如此Windows下也同样如此如果你想加密编写病毒等了解PE文件结构必是不可缺少大家也可能见到很多这方面资料但都是从理论上解说下很少见到拿个具体文件开刀这里我就用前面“系列4”中文件4.EXE为例来剖析下PE文件格式因时间关系不可能下子就写... [阅读全文]

=tf width="98%" align=center border=0在windows 9x、NT、2000下所有可执行文件都是基于Microsoft设计种新文件格式Portable Executable File Format（可移植执行体）即PE格式有些时候我们需要对这些可执行文件进行修改下面文字试图详细描述PE文件格式及对PE格式文件修改1、PE文件框架构成DOS MZ headerDO... [阅读全文]

大家都很清楚，了解可执行文件的结构有多么的重要，DOS下如此，Windows下也同样如此。如果你想加密程序，编写病毒等，了解PE文件结构必是不可缺少的。大家也可能见到很多这方面的资料，但都是从理论上解说一下，很少见到拿一个具体文件开刀的。这里，我就用前面“系列4”中的文件4.EXE为例来剖析一下PE文件格式，因时间关系，不可能一下子就写的很完善，如可行，以后再慢慢补来。 =============... [阅读全文]

原创：ilsy（ILSY） 在windows 9x、NT、2000下，所有的可执行文件都是基于Microsoft设计的一种新的文件格式Portable Executable File Format（可移植的执行体），即PE格式。有一些时候，我们需要对这些可执行文件进行修改，下面文字试图详细的描述PE文件的格式及对PE格式文件的修改。 1、PE文件框架构成 DOS MZ header DO... [阅读全文]

在win32 SDK的文件winnt.h中有PE文件格式的定义。本文所用到的变量，如果没有特别说明，都在文件winnt.h中定义。有关一些PE头文件结构一般都有32位和64位之分，如IMAGE_NT_HEADERS32和IMAGE_NT_HEADERS64等，除了在64位版本中的一些扩展域外，这些结构总是一样的。是采用32位还是64位，需要用#define _WIN64来定义，如果没有这种定义，则... [阅读全文]

#pragma comment( lib, "Imagehlp.lib" ) #windows.h #Imagehlp.h #memory.h #iostream using std; AnalysisPE { //些辅助宏定义； # NUMOFSECTION pNTHeader-FileHeader.NumberOfSections public: Ana... [阅读全文]

认识PE文件，既要懂得它的结构布局，又要知道它是如何装载到计算机内存中的。下面分别对它们进行说明。2.2.1 PE文件结构布局找到文件中某一结构信息有两种定位方法。第一种是通过链表方法，对于这种方法，数据在文件的存放位置比较自由。第二种方法是采用紧凑或固定位置存放，这种方法要求数据结构大小固定，它在文件中的存放位置也相对固定。在PE文件结构中同时采用以上两种方法。 因为在PE文件头中的每个数据结... [阅读全文]