上一页 1 ··· 10 11 12 13 14 15 16 17 18 ··· 38 下一页
2020年2月17日
PE 导出表
摘要: #知识点: 1、exe程序一般只有导入表,但并不是一定,有可能也有导出表 2、dll程序一般导出表和导入表都有 一个可执行程序是由一堆PE文件构成的! 如下图可解释: 我加载的是一个.exe,但是后面还有需要的.dll文件,大家都知道.dll也有PE文件,这里也就又有一个问题了,为什么要引入这么多的 阅读全文
posted @ 2020-02-17 21:39 zpchcbd 阅读(550) 评论(0) 推荐(1) 编辑
PE 节表
摘要: 节表:总大小占IMAGE_SECTION_HEADER结构体(40字节) * 节的数量(大小取决于节的数量) 结构体为如下: typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //当前节的名称 , 占 阅读全文
posted @ 2020-02-17 15:30 zpchcbd 阅读(790) 评论(0) 推荐(0) 编辑
2020年2月16日
PE 新增节
摘要: 新增节后,需要修改以下信息 1、添加一个新节,可以复制一份,最好是拥有可执行属性的节,如.text 2、在节表区,新增节的后面,填充一个节,用零填充 3、修改标准PE头中NumberOfSections中节的数量,我这里原来5个,现在6个了 4、修改SizeOfImage的大小,这里自己新增了0x1 阅读全文
posted @ 2020-02-16 23:21 zpchcbd 阅读(487) 评论(0) 推荐(1) 编辑
PE 扩大节
摘要: 适用条件:有的时候空白区不够需要进行扩大节 以对最后一个节扩大0x1000为例子: 为什么要扩大最后一个节呢?如果扩大最后的一个节之前的话,那么相对于当前扩大的节后面也会相应的变化,节表中每个节数据的信息都要相对应的纠正,相对比较繁琐! 扩大节其实很简单,修改节数据对齐后的大小就可以了,并且在PE文 阅读全文
posted @ 2020-02-16 23:13 zpchcbd 阅读(585) 评论(0) 推荐(0) 编辑
PE 空白区注入shellcode
摘要: 实现流程: 1、在具有可执行属性的文件中进行写入相对应的shellcode,写入shellcode的时候需要先查看是否文件对齐和内存对齐一致,如果不一致那需要先转换,如果一致就可以直接在空白的地址上进行填写! 2、填写完shellcode之后,最后的跳转要跳回原程序的入口地址,所以还需要更改跳转到原 阅读全文
posted @ 2020-02-16 16:06 zpchcbd 阅读(970) 评论(0) 推荐(0) 编辑
2020年2月15日
RVA和FOA的相互转换
摘要: #全局变量有无初始值的区别: 没有初始值:PE文件在文件中的状态的时候不会对该变量的地址进行存储,只有在内存中运行的时候的状态才会进行分配 有初始值:PE文件在文件中的状态的时候会对该变量的地址进行存储 #什么是VA、RVA、FOA VA:英文全称是Virual Address,简称VA,中文意思是 阅读全文
posted @ 2020-02-15 15:51 zpchcbd 阅读(3201) 评论(0) 推荐(1) 编辑
PE文件头属性
摘要: PE文件头: 分为三部分: 1、PE文件头标识 2、PE文件表头 3、可扩展文件表头 1、PE文件头标识: 没啥好讲的,就4个字节,但是不能修改,作为标识使用! 2、标准文件头:占20个字节,是一个 结构体 关于该结构体中的 成员的每个位上的代表含义如下: 3、可扩展文件表头:在x64系统中占0xF 阅读全文
posted @ 2020-02-15 12:21 zpchcbd 阅读(863) 评论(0) 推荐(0) 编辑
DOS头属性
摘要: DOS头部分分为两个部分: 1、DOS MZ头 2、DOS块 1、DOS MZ头是一个 结构体,其大小占64个字节 该结构体是给16位的程序看的,现在的程序都是运行在x32 x64系统上! 但是有两个例外 和 ,这两个成员必须存在 并且不可以改 :WORD类型,操作利用利用这个来进行识别 :LONG 阅读全文
posted @ 2020-02-15 12:20 zpchcbd 阅读(507) 评论(0) 推荐(0) 编辑
PE中的两种状态
摘要: 通过https://www.cnblogs.com/zpchcbd/p/12308184.html的介绍 大家也知道了节数据跟节数据之间,都是根据文件对齐存放的 PE文件有两种状态,一种是在硬盘中的状态,一种是在内存中的状态,上篇文章讲的都是硬盘中存放的时候的状态 例如下图: 在文件中我们的对齐是按 阅读全文
posted @ 2020-02-15 10:47 zpchcbd 阅读(361) 评论(0) 推荐(0) 编辑
2020年2月14日
CMSTP
摘要: 介绍:Microsoft连接管理器配置文件安装程序(CMSTP.exe)是用于安装连接管理器服务配置文件的命令行程序。 第一点:CMSTP.exe接受安装信息文件(INF)作为参数,并安装用于远程访问连接的服务配置文件。 相对的应用:攻击者可能会向CMSTP.exe提供感染了恶意命令的INF文件,也 阅读全文
posted @ 2020-02-14 23:27 zpchcbd 阅读(552) 评论(0) 推荐(0) 编辑
上一页 1 ··· 10 11 12 13 14 15 16 17 18 ··· 38 下一页