滴水c语言pe结构_c语言解析pe文件_C语言-结构 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

滴水逆向初级-C语言（二）

2.1.C语言的汇编表示 c语言代码 int plus(int x,int y) { return 0; } void main() { __asm { mov eax,eax }...C语言中，返回值存储在EAX中 2.3.变量 1、声明变量变量类型变量名; 变量类型用来说明宽度是多大 int 4个字节 short 2个字节 char 1个字节变量名的命名规则:...结构体类型的定义: struct类型名{ //可以定义多种类型 inta; char b; short c; }; char/int/数组等是编译器已经认识的类型:内置类型结构体是编译器不认识的...如果是结构体，那么结构体的起始地址是其最宽数据类型成员的整数倍。...//c是int*类型，*(c)是int类型 system("pause"); return ; } 取值运算符举例 C语言代码 #include #include<windows.h

1.3K4 0

滴水逆向初级-C++（三）

3.1.封装 1、什么是封装: 将函数定义到结构体内部，就是封装。 2、什么是类: 带有函数的结构体，称为类。 3、什么是成员函数: 结构体里面的函数，称为成员函数。...4、this指针不占用结构体的宽度。...C++中是通过虚函数实现的多态性。...("china"),c2("derek"); c1 = c2; system("pause"); return; } 3.13.static关键字 1、面向对象设计中的static之静态数据成员...,c2; c1.SetValue(10); int b = c2.GetValue(); printf("%d\n",b); //10 system("pause"); return;

6191 0

您找到你想要的搜索结果了吗？

是的

没有找到

PE文件结构

对于C++代码，Windows文件头的配置使其拥有不明显的区别。整体结构 PE结构一般来说：从起始位置开始依次是DOS头、NT头、节表以及具体的节。基地址程序加载进内存的起始地址。...文件偏移地址从PE文件的第一个字节开始计数，起始值为0。用十六进制工具（例如WinHex、C32等）打开文件所显示的地址就是文件偏移地址。...3、NT头结构信息-PE可选头（IMAGE_OPTIONAL_HEADER）是一个可选的结构，但实际上IMAGE_FILE_HEADER结构不足以定义PE文件属性，因此可选映像头中定义了更多的数据，...完全不必考虑两个结构区别在哪里，两者连起来就是一个完整的“PE文件头结构”。...对于C++代码，Windows文件头的配置使其拥有不明显的区别。 2、PE文件中的数据结构一般都有32位和64位之分，如IMAGE_NT_HEADERS32、IMAGE_NT_HEADER64等。

2181 0

2.12 PE结构：实现PE字节注入

本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell注入技术。...该技术能够劫持原始PE文件的入口地址，在PE程序运行之前执行ShellCode反弹，执行后挂入后台并继续运行原始程序，实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。...// 将ShellCode写出到PE程序的特定位置 // 参数1: 指定PE路径参数2: 指定文件中的偏移(十进制) 参数3: 指定ShellCode文件 void WritePEShellCode(...文件中我们需要手动分析寻找空余块，并在注入成功后还需要自行修正PE文件内的入口地址等，这种方式适合于对PE结构非常熟悉的人可以，但也要花费一些精力去寻找分析，如下代码则是实现了自动化注入功能，该代码中FindSpace...当我们对特定的程序插入Shell后，则还需要对该程序增加一个标志，在PE结构中有许多地方可以写入这个标志，例如DOS头部存在一个e_cblp变量，通过向该变量写入一个标志，当需要判断是否被感染时读取此处并检查是否存在特定值即可

2332 0

2.12 PE结构：实现PE字节注入

本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell注入技术。...该技术能够劫持原始PE文件的入口地址，在PE程序运行之前执行ShellCode反弹，执行后挂入后台并继续运行原始程序，实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。...// 将ShellCode写出到PE程序的特定位置// 参数1: 指定PE路径参数2: 指定文件中的偏移(十进制) 参数3: 指定ShellCode文件void WritePEShellCode(const...文件中我们需要手动分析寻找空余块，并在注入成功后还需要自行修正PE文件内的入口地址等，这种方式适合于对PE结构非常熟悉的人可以，但也要花费一些精力去寻找分析，如下代码则是实现了自动化注入功能，该代码中FindSpace...图片当我们对特定的程序插入Shell后，则还需要对该程序增加一个标志，在PE结构中有许多地方可以写入这个标志，例如DOS头部存在一个e_cblp变量，通过向该变量写入一个标志，当需要判断是否被感染时读取此处并检查是否存在特定值即可

3132 0

PE格式：手写PE结构解析工具

,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表,下面将具体介绍PE的关键结构,并使用C语言编程获取到这些结构数据....参考文献: [琢石成器 Win32汇编语言程序设计 - 罗云彬] 整理学习笔记,精简内容,翻译汇编代码C语言化在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS...DOS头结构： PE文件中的DOS部分由MZ格式的文件头和可执行代码部分组成，可执行代码被称为DOS块(DOS stub)，MZ格式的文件头由IMAGE_DOS_HEADER结构定义，在C语言头文件winnt.h...VirtualAddress; difS[temp] = pSection->VirtualAddress - pSection->PointerToRawData; } } 使用C语言实现可能有点复杂...查看节表可以发现RVA地址0000205C也处于.rdata节内，减去节的起始地址0x00002000得到这个RVA相对于节首的偏移是5Ch,也就是说它对应文件为0x00000600+5c = 065ch

1K2 0

PE格式：手写PE结构解析工具

,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表,下面将具体介绍PE的关键结构,并使用C语言编程获取到这些结构数据....-- more -->参考文献: 琢石成器 Win32汇编语言程序设计 - 罗云彬整理学习笔记,精简内容,翻译汇编代码C语言化在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的...DOS头结构： PE文件中的DOS部分由MZ格式的文件头和可执行代码部分组成，可执行代码被称为DOS块(DOS stub)，MZ格式的文件头由IMAGE_DOS_HEADER结构定义，在C语言头文件winnt.h...->VirtualAddress; difS[temp] = pSection->VirtualAddress - pSection->PointerToRawData; }}使用C语言实现可能有点复杂...查看节表可以发现RVA地址0000205C也处于.rdata节内，减去节的起始地址0x00002000得到这个RVA相对于节首的偏移是5Ch,也就是说它对应文件为0x00000600+5c = 065ch

1.5K2 0

2.13 PE结构：实现PE代码段加密

0, 0, 0); HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0); // 找到PE...节进行解密，运行后读者可打开x64dbg调试器，观察入口地址处的变化，此时入口地址已经跳转到.hack节内，此节中的汇编指令则用于对.text代码节进行解密操作，当解密结束后则会跳转到原始地址0x45C865...0, 0, 0); HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0); // 定位PE

2232 0

PE结构-DOS头

PE结构-DOS头，本部分为参照吾爱破解论坛lyl610abc师傅PE文件笔记所整理的学习笔记。...DOS部首 DOS部首结构其结构分为两部分: DOS ‘MZ’ HEADER 其在c中定义的结构体为_IMAGE_DOS_HEADER DOS sub DOS MZ头 DOS MZ头在C语言中所定义的结构体为...是为了往下兼容在低版本DOS系统上运行，所以该部分主要用于DOS系统目前在32/64位Windows操作系统中还有效的成员只有两个第一个成员:e_magic (WORD 2字节) 用于识别文件是否为PE...格式文件值固定为4d 5a (MZ) 最后一个成员: e_lfanew (LONG 4字节) 存储PE头首地址位于0x3c位置 DOS部首中的其他值已经在现阶段Windows系统中弃用，下面通过将对应值置换为

2352 0

2.13 PE结构：实现PE代码段加密

PAGE_READWRITE, 0, 0, 0); HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0); // 找到PE...节进行解密，运行后读者可打开x64dbg调试器，观察入口地址处的变化，此时入口地址已经跳转到.hack节内，此节中的汇编指令则用于对.text代码节进行解密操作，当解密结束后则会跳转到原始地址0x45C865...PAGE_READWRITE, 0, 0, 0); HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0); // 定位PE

3573 0

C语言结构

选择结构 if else 选择结构 1. else 只与上面离它最近的一个 if 配对。 2. C语言中，编译器忽略缩进，所以 if else 配对不看缩进。...if else 基本结构： #define _CRT_SECURE_NO_WARNINGS #include int main() { int i = 0; scanf("%d"...%d 岁\n",i); } else { printf("你还未成年\n"); printf("今年你 %d 岁\n", i); } return 0; } if else 双层嵌套结构...; else if(i==18) printf("刚好成年\n"); else if(i>18) printf("已经成年\n"); return 0; } switch case 选择结构... switch case 基本结构： switch (expression) { case value1: statement case value2: statement

410 0

c语言oj得pe,ACM入门之OJ~

Output Limit Exceed,OLE)、超内存(Memory Limit Exceed,MLE)、运行时错误(Runtime Error,RE)、格式错误(Presentation Error,PE...C语言代码： #include int main() { int a,b; scanf(“%d %d”,&a, &b); printf(“%d\n”,a+b); return0; } C++语言代码...C语言代码： 1 #include 2 int main() 3 { 4 int a,b; 5 while(scanf(“%d %d”,&a, &b) !...C++语言代码： 1 #include 2 usingnamespace std; 3 int main() 4 { 5 int a,b; 6 while(cin >> a >...C语言代码: 1 #include 2 int main() 3 { 4 int a, b; 5 while (scanf(“%d%d”, &a, &b) !

1.4K1 0

2.9 PE结构：重建导入表结构

数据目录表的第二个成员指向导入表，该指针在PE开头位置向下偏移0x80h处，此处PE开始位置为0xF0h也就是说导入表偏移地址应该在0xf0+0x80h=170h如下图中，导入表相对偏移为0x21d4h...如上图就是导入表中的IID数组，每个IID结构包含一个装入DLL的描述信息，现在有三个导入DLL文件，则第四个是一个全部填充为0的结构，标志着IID数组的结束，每一个结构有五个四字节构成，该结构体定义如下所示...上方提到的两个字段OrignalFirstThunk和FirstThunk都可以指向导入结构，在实际装入中，当程序中的OrignalFirstThunk值为0时，则就要看FirstThunk里面的数据，...在上述流程中，我们找到了User32.dll的OrignalFirstThunk，其地址为22C0，使用该值减去1000h 得到 12c0h，在偏移为12c0h处保存的就是一个IMAGE_THUNK_DATA32...数组，他存储的内容就是指向 IMAGE_IMPORT_BY_NAME 结构的地址，最后一个元素以一串0000 0000作为结束标志，先来看一下IMAGE_THUNK_DATA32的定义规范。

2343 0

2.9 PE结构：重建导入表结构

数据目录表的第二个成员指向导入表，该指针在PE开头位置向下偏移0x80h处，此处PE开始位置为0xF0h也就是说导入表偏移地址应该在0xf0+0x80h=170h如下图中，导入表相对偏移为0x21d4h...图片如上图就是导入表中的IID数组，每个IID结构包含一个装入DLL的描述信息，现在有三个导入DLL文件，则第四个是一个全部填充为0的结构，标志着IID数组的结束，每一个结构有五个四字节构成，该结构体定义如下所示...：0000 22C0 => OrignalFirstThunk => 指向输入名称表INT的RVA0000 0000 => TimeDateStamp => 指向一个32位时间戳,默认此处为00000...在上述流程中，我们找到了User32.dll的OrignalFirstThunk，其地址为22C0，使用该值减去1000h 得到 12c0h，在偏移为12c0h处保存的就是一个IMAGE_THUNK_DATA32...数组，他存储的内容就是指向 IMAGE_IMPORT_BY_NAME 结构的地址，最后一个元素以一串0000 0000作为结束标志，先来看一下IMAGE_THUNK_DATA32的定义规范。

3362 0

C语言结构体

结构体结构体是用户建立由不同类型数据组成的混合型的数据结构（数据类型）。系统提供的类型：int double float char long 数组，指针......一般形式： struct 结构体名{ 成员; }; 例如：定义一个学生的结构体，学生包括姓名，性别，年龄。声明一个学生的变量，输出学生的信息。...Student stu,stu2; strcpy(stu.name,"zhangsan"); stu.sex='M'; stu.age=10; printf("%s %c...%d\n",stu1.name,stu1.sex,stu1.age); printf("%s %c %d\n",stu2.name,stu2.sex,stu2.age); printf(...%d\n",a[i].name,a[i].sex,a[i].age); } return 0; } 结构体指针结构体指针是指向结构体变量的指针，一个结构体变量的地址就是这个结构体变量的指针

2K2 0

【C语言】结构体

前言还记得我在总结操作符时，涉及到了结构体，在C语言中类型分为两大类一个是内置类型，一个是自定义类型，常见的内置类型我们不说，我们今天来好好看一看为自定义类型之一的结构体吧个人主页：小张同学zkf...但有一些特殊情况，让我们来看一下 // 匿名结构体类型 struct { int a; char b; float c; }x; struct...{ int a; char b; float c; }a[ 20 ], *p; 这种就是匿名结构体类型，你会发现这个结构体类型没有名字，那么可以...光说结论肯定不好理解，我们来看几道题 struct S1 { char c1; int i; char c2; }; printf ( "%d...12 再来一道 // 练习 2 struct S2 { char c1; char c2; int i; }; printf ( "%

1161 0

C语言——结构体

让我们走进结构体一.结构体 1.1 什么是结构体结构是一些值的集合，这些值称为成员变量。结构的每个成员可以是不同类型的变量。...1.2 结构体的声明例如用结构体描述一个学生 1.3 特殊的声明在声明结构体时，可以不完全声明，也就是匿名结构体类型 1.4 结构的自引用结构的自引用就是自己作为自己的成员变量但是要注意正确的引用方法...结构体变量的嵌套初始化 1.6 结构体内存对齐来计算一下结构体的大小来计算一下结构体的大小如果不了解的话可能会觉得是 6 6 13 为什么最终结果会是这样呢？...这就要掌握首先得掌握结构体的对其原则 1.6.1结构体的对其原则一. 二.结构体嵌套问题为什么存在内存对齐?...如果传递一个结构体对象的时候，结构体过大，参数压栈的的系统开销比较大，所以会导致性能的下降。因此结构体传参的时候，要传结构体的地址。

751 0

C语言_结构体

一、结构体结构的基础知识结构是一些值的集合，这些值称为成员变量，结构的每个成员可以是不同类型的变量。...结构体初始化 ---- ---- 四.结构成员的类型结构成员可以使标量、数组、指针、甚至是其它结构体五.结构体变量的定义和初始化有了结构体类型，如何定义变量 ---- ---- 六.结构体成员访问...6.1结构体变量访问成员结构变量的成员是通过点操作符（.）访问的点操作符接受两个操作数。...---- 6.2结构体指针访问指向变量的成员（箭头操作符 ->）有时候我们得到的不是一个结构体变量，而是指向一个结构体的指针。...如果传递一个结构体对象的时候，结构体过大，参数压栈的的系统开销过大，所以会导致性能的下降。结论：结构体传参的时候，要传结构体的地址。

1342 0

C语言结构体

结构体结构体的声明 struct TAG { //member_list;//结构体内部成员 }/*variable*/;//结构体的名字,或者指针在这里例如 struct...tag { int i;//结构体内部成员 char a;//结构体内部成员 double e;//结构体内部成员 char arr[];//结构体内部成员 }F,*p;//结构体的名字,或者指针在这里...数倍例如 struct A { char a; int b; char c; }; struct B { char a; char b; int c; };...struct C { int c; char a; char b; }; struct D { int a; short b; char c; }; int main() { printf...//4个字节 4-7 4的倍数正好 8 }; struct C { int c;//4 0-3 char a;//1 4 char b;//1 5 因为要是4的倍数占到8 }; struct

791 0

【C语言】结构体

大家好，我是泽奀，本篇博客就带大家来(初始)C语言的结构体的内容，后面也会发布一篇进阶的内容。...目录结构体基础： typedef作用：结构体的作用：结构体的大小与内存对齐：结构体成员的类型结构体成员结构体(套娃‘doge’) 结构体传参和传值 1.传参 2.传址各位，这两个函数如果要选择一个的话...因为：结构体基础：结构是一些值的集合，这些值被称作是成员之间的变量。结构体每个成员可以是不同类型变量。 ...typedef作用：想了想，还是把typedef单独拿出来说一说吧 C 语言提供了 typedef 关键字，你可以使用它来为类型取一个新的名字。...看到这里可能有些人会感觉和#deifne怎么感觉一样，那在这里我说下： #define 是 C 指令，用于为各种数据类型定义别名，与 typedef 类似，但是它们有以下几点不同： typedef 仅限于为类型定义符号名称

2.2K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭