- 博客(8)
- 收藏
- 关注
RSS订阅原创 PE文件结构详解(六)重定位
前面两篇 PE文件结构详解(四)PE导入表 和 PE文件结构详解(五)延迟导入表 介绍了PE文件中比较常用的两种导入方式,不知道大家有没有注意到,在调用导入函数时系统生成的代码是像下面这样的:在这里,IE的iexplorer.exe导入了Kernel32.dll的GetCommandLineA函数,可以看到这是个间接call,00401004这个地址的内存里保存了目的地址,根据图中显示
2013-10-20 19:51:12
14716
5
原创 PE文件结构详解(五)延迟导入表
延迟导入(Delay Import)。看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因为有些导入函数可能使用的频率比较低,或者在某些特定的场合才会用到,而有些函数可能要在程序运行一段时间后才会用到,这些函数可以等到他实际使用的时候再去加载对应的DLL,而没必要再程序一装载就初始化好。
2013-10-14 23:47:57
9377
2
原创 PE文件结构详解(四)PE导入表
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入表有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
2013-10-07 23:01:59
33028
8
原创 PE文件结构详解(三)PE导出表
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出表。
2013-09-30 10:34:52
25180
5
原创 PE文件结构详解(二)可执行文件头
在PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。了解一个文件的详细结构,最应该首先了解的就是这个文件的文件头的含义,因为几乎所有的文件格式,重要的信息都包含在头部,从头部的信息,可以引导系统解析整个文件。
2013-09-23 23:28:49
42658
14
原创 PE文件结构详解(一)基本概念
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。
2013-09-14 23:01:51
68109
8
原创 MDL总结
<br /><br />MDL:memorydescriptor list 用于描述一段内存,记录了内存的起始页,和页内偏移,以及映射至系统空间的地址。<br />驱动使用直接IO方式时,系统会把用户地址空间的页面锁定,使其不会被换出,并构造MDL描述这些页面。驱动程序应使用MmGetSystemAddressForMdlSafe来重新将地址映射到系统地址空间。<br />MDL结构有一个flag,对MDL操作的函数会影响其值。<br />MDL相关的函数有:<br />MmInitializeMdl:
2010-11-10 17:36:00
2076
转载 【转】瑞星2008采用的主动防御技术及弱点分析
(1) SSDT HOOK: 使用了最原始也是最易恢复的SSDT挂钩方式挂钩了入下函数:ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入ZwLoadDriver:拦截正规通过SCM的驱动加载ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:用于拦截注
2009-08-26 13:42:00
1524
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人