滴水c语言pe结构_c语言解析pe文件_C语言-结构 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

滴水逆向初级-C语言（二）

2.1.C语言的汇编表示 c语言代码 int plus(int x,int y) { return 0; } void main() { __asm { mov eax,eax }...C语言中，返回值存储在EAX中 2.3.变量 1、声明变量变量类型变量名; 变量类型用来说明宽度是多大 int 4个字节 short 2个字节 char 1个字节变量名的命名规则:...结构体类型的定义: struct类型名{ //可以定义多种类型 inta; char b; short c; }; char/int/数组等是编译器已经认识的类型:内置类型结构体是编译器不认识的...如果是结构体，那么结构体的起始地址是其最宽数据类型成员的整数倍。...//c是int*类型，*(c)是int类型 system("pause"); return ; } 取值运算符举例 C语言代码 #include #include<windows.h

1.2K4 0

PE文件结构

对于C++代码，Windows文件头的配置使其拥有不明显的区别。整体结构 PE结构一般来说：从起始位置开始依次是DOS头、NT头、节表以及具体的节。基地址程序加载进内存的起始地址。...文件偏移地址从PE文件的第一个字节开始计数，起始值为0。用十六进制工具（例如WinHex、C32等）打开文件所显示的地址就是文件偏移地址。...3、NT头结构信息-PE可选头（IMAGE_OPTIONAL_HEADER）是一个可选的结构，但实际上IMAGE_FILE_HEADER结构不足以定义PE文件属性，因此可选映像头中定义了更多的数据，...完全不必考虑两个结构区别在哪里，两者连起来就是一个完整的“PE文件头结构”。...对于C++代码，Windows文件头的配置使其拥有不明显的区别。 2、PE文件中的数据结构一般都有32位和64位之分，如IMAGE_NT_HEADERS32、IMAGE_NT_HEADER64等。

1931 0

您找到你想要的搜索结果了吗？

是的

没有找到

2.12 PE结构：实现PE字节注入

本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell注入技术。...该技术能够劫持原始PE文件的入口地址，在PE程序运行之前执行ShellCode反弹，执行后挂入后台并继续运行原始程序，实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。...// 将ShellCode写出到PE程序的特定位置 // 参数1: 指定PE路径参数2: 指定文件中的偏移(十进制) 参数3: 指定ShellCode文件 void WritePEShellCode(...文件中我们需要手动分析寻找空余块，并在注入成功后还需要自行修正PE文件内的入口地址等，这种方式适合于对PE结构非常熟悉的人可以，但也要花费一些精力去寻找分析，如下代码则是实现了自动化注入功能，该代码中FindSpace...当我们对特定的程序插入Shell后，则还需要对该程序增加一个标志，在PE结构中有许多地方可以写入这个标志，例如DOS头部存在一个e_cblp变量，通过向该变量写入一个标志，当需要判断是否被感染时读取此处并检查是否存在特定值即可

2232 0

滴水逆向初级-C++（三）

3.1.封装 1、什么是封装: 将函数定义到结构体内部，就是封装。 2、什么是类: 带有函数的结构体，称为类。 3、什么是成员函数: 结构体里面的函数，称为成员函数。...4、this指针不占用结构体的宽度。...C++中是通过虚函数实现的多态性。...("china"),c2("derek"); c1 = c2; system("pause"); return; } 3.13.static关键字 1、面向对象设计中的static之静态数据成员...,c2; c1.SetValue(10); int b = c2.GetValue(); printf("%d\n",b); //10 system("pause"); return;

6061 0

2.12 PE结构：实现PE字节注入

本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell注入技术。...该技术能够劫持原始PE文件的入口地址，在PE程序运行之前执行ShellCode反弹，执行后挂入后台并继续运行原始程序，实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。...// 将ShellCode写出到PE程序的特定位置// 参数1: 指定PE路径参数2: 指定文件中的偏移(十进制) 参数3: 指定ShellCode文件void WritePEShellCode(const...文件中我们需要手动分析寻找空余块，并在注入成功后还需要自行修正PE文件内的入口地址等，这种方式适合于对PE结构非常熟悉的人可以，但也要花费一些精力去寻找分析，如下代码则是实现了自动化注入功能，该代码中FindSpace...图片当我们对特定的程序插入Shell后，则还需要对该程序增加一个标志，在PE结构中有许多地方可以写入这个标志，例如DOS头部存在一个e_cblp变量，通过向该变量写入一个标志，当需要判断是否被感染时读取此处并检查是否存在特定值即可

2852 0

PE格式：手写PE结构解析工具

,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表,下面将具体介绍PE的关键结构,并使用C语言编程获取到这些结构数据....-- more -->参考文献: 琢石成器 Win32汇编语言程序设计 - 罗云彬整理学习笔记,精简内容,翻译汇编代码C语言化在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的...DOS头结构： PE文件中的DOS部分由MZ格式的文件头和可执行代码部分组成，可执行代码被称为DOS块(DOS stub)，MZ格式的文件头由IMAGE_DOS_HEADER结构定义，在C语言头文件winnt.h...->VirtualAddress; difS[temp] = pSection->VirtualAddress - pSection->PointerToRawData; }}使用C语言实现可能有点复杂...查看节表可以发现RVA地址0000205C也处于.rdata节内，减去节的起始地址0x00002000得到这个RVA相对于节首的偏移是5Ch,也就是说它对应文件为0x00000600+5c = 065ch

1.5K2 0

PE格式：手写PE结构解析工具

,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表,下面将具体介绍PE的关键结构,并使用C语言编程获取到这些结构数据....参考文献: [琢石成器 Win32汇编语言程序设计 - 罗云彬] 整理学习笔记,精简内容,翻译汇编代码C语言化在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS...DOS头结构： PE文件中的DOS部分由MZ格式的文件头和可执行代码部分组成，可执行代码被称为DOS块(DOS stub)，MZ格式的文件头由IMAGE_DOS_HEADER结构定义，在C语言头文件winnt.h...VirtualAddress; difS[temp] = pSection->VirtualAddress - pSection->PointerToRawData; } } 使用C语言实现可能有点复杂...查看节表可以发现RVA地址0000205C也处于.rdata节内，减去节的起始地址0x00002000得到这个RVA相对于节首的偏移是5Ch,也就是说它对应文件为0x00000600+5c = 065ch

9892 0

2.13 PE结构：实现PE代码段加密

0, 0, 0); HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0); // 找到PE...节进行解密，运行后读者可打开x64dbg调试器，观察入口地址处的变化，此时入口地址已经跳转到.hack节内，此节中的汇编指令则用于对.text代码节进行解密操作，当解密结束后则会跳转到原始地址0x45C865...0, 0, 0); HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0); // 定位PE

2092 0

PE结构-DOS头

PE结构-DOS头，本部分为参照吾爱破解论坛lyl610abc师傅PE文件笔记所整理的学习笔记。...DOS部首 DOS部首结构其结构分为两部分: DOS ‘MZ’ HEADER 其在c中定义的结构体为_IMAGE_DOS_HEADER DOS sub DOS MZ头 DOS MZ头在C语言中所定义的结构体为...是为了往下兼容在低版本DOS系统上运行，所以该部分主要用于DOS系统目前在32/64位Windows操作系统中还有效的成员只有两个第一个成员:e_magic (WORD 2字节) 用于识别文件是否为PE...格式文件值固定为4d 5a (MZ) 最后一个成员: e_lfanew (LONG 4字节) 存储PE头首地址位于0x3c位置 DOS部首中的其他值已经在现阶段Windows系统中弃用，下面通过将对应值置换为

2162 0

2.13 PE结构：实现PE代码段加密

PAGE_READWRITE, 0, 0, 0); HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0); // 找到PE...节进行解密，运行后读者可打开x64dbg调试器，观察入口地址处的变化，此时入口地址已经跳转到.hack节内，此节中的汇编指令则用于对.text代码节进行解密操作，当解密结束后则会跳转到原始地址0x45C865...PAGE_READWRITE, 0, 0, 0); HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0); // 定位PE

3383 0

c语言oj得pe,ACM入门之OJ~

Output Limit Exceed,OLE)、超内存(Memory Limit Exceed,MLE)、运行时错误(Runtime Error,RE)、格式错误(Presentation Error,PE...C语言代码： #include int main() { int a,b; scanf(“%d %d”,&a, &b); printf(“%d\n”,a+b); return0; } C++语言代码...C语言代码： 1 #include 2 int main() 3 { 4 int a,b; 5 while(scanf(“%d %d”,&a, &b) !...C++语言代码： 1 #include 2 usingnamespace std; 3 int main() 4 { 5 int a,b; 6 while(cin >> a >...C语言代码: 1 #include 2 int main() 3 { 4 int a, b; 5 while (scanf(“%d%d”, &a, &b) !

1.3K1 0

2.9 PE结构：重建导入表结构

数据目录表的第二个成员指向导入表，该指针在PE开头位置向下偏移0x80h处，此处PE开始位置为0xF0h也就是说导入表偏移地址应该在0xf0+0x80h=170h如下图中，导入表相对偏移为0x21d4h...如上图就是导入表中的IID数组，每个IID结构包含一个装入DLL的描述信息，现在有三个导入DLL文件，则第四个是一个全部填充为0的结构，标志着IID数组的结束，每一个结构有五个四字节构成，该结构体定义如下所示...上方提到的两个字段OrignalFirstThunk和FirstThunk都可以指向导入结构，在实际装入中，当程序中的OrignalFirstThunk值为0时，则就要看FirstThunk里面的数据，...在上述流程中，我们找到了User32.dll的OrignalFirstThunk，其地址为22C0，使用该值减去1000h 得到 12c0h，在偏移为12c0h处保存的就是一个IMAGE_THUNK_DATA32...数组，他存储的内容就是指向 IMAGE_IMPORT_BY_NAME 结构的地址，最后一个元素以一串0000 0000作为结束标志，先来看一下IMAGE_THUNK_DATA32的定义规范。

2213 0

2.9 PE结构：重建导入表结构

数据目录表的第二个成员指向导入表，该指针在PE开头位置向下偏移0x80h处，此处PE开始位置为0xF0h也就是说导入表偏移地址应该在0xf0+0x80h=170h如下图中，导入表相对偏移为0x21d4h...图片如上图就是导入表中的IID数组，每个IID结构包含一个装入DLL的描述信息，现在有三个导入DLL文件，则第四个是一个全部填充为0的结构，标志着IID数组的结束，每一个结构有五个四字节构成，该结构体定义如下所示...：0000 22C0 => OrignalFirstThunk => 指向输入名称表INT的RVA0000 0000 => TimeDateStamp => 指向一个32位时间戳,默认此处为00000...在上述流程中，我们找到了User32.dll的OrignalFirstThunk，其地址为22C0，使用该值减去1000h 得到 12c0h，在偏移为12c0h处保存的就是一个IMAGE_THUNK_DATA32...数组，他存储的内容就是指向 IMAGE_IMPORT_BY_NAME 结构的地址，最后一个元素以一串0000 0000作为结束标志，先来看一下IMAGE_THUNK_DATA32的定义规范。

3172 0

C语言结构体

结构体结构体是用户建立由不同类型数据组成的混合型的数据结构（数据类型）。系统提供的类型：int double float char long 数组，指针......一般形式： struct 结构体名{ 成员; }; 例如：定义一个学生的结构体，学生包括姓名，性别，年龄。声明一个学生的变量，输出学生的信息。...Student stu,stu2; strcpy(stu.name,"zhangsan"); stu.sex='M'; stu.age=10; printf("%s %c...%d\n",stu1.name,stu1.sex,stu1.age); printf("%s %c %d\n",stu2.name,stu2.sex,stu2.age); printf(...%d\n",a[i].name,a[i].sex,a[i].age); } return 0; } 结构体指针结构体指针是指向结构体变量的指针，一个结构体变量的地址就是这个结构体变量的指针

2K2 0

C语言——结构体

让我们走进结构体一.结构体 1.1 什么是结构体结构是一些值的集合，这些值称为成员变量。结构的每个成员可以是不同类型的变量。...1.2 结构体的声明例如用结构体描述一个学生 1.3 特殊的声明在声明结构体时，可以不完全声明，也就是匿名结构体类型 1.4 结构的自引用结构的自引用就是自己作为自己的成员变量但是要注意正确的引用方法...结构体变量的嵌套初始化 1.6 结构体内存对齐来计算一下结构体的大小来计算一下结构体的大小如果不了解的话可能会觉得是 6 6 13 为什么最终结果会是这样呢？...这就要掌握首先得掌握结构体的对其原则 1.6.1结构体的对其原则一. 二.结构体嵌套问题为什么存在内存对齐?...如果传递一个结构体对象的时候，结构体过大，参数压栈的的系统开销比较大，所以会导致性能的下降。因此结构体传参的时候，要传结构体的地址。

711 0

C语言_结构体

一、结构体结构的基础知识结构是一些值的集合，这些值称为成员变量，结构的每个成员可以是不同类型的变量。...结构体初始化 ---- ---- 四.结构成员的类型结构成员可以使标量、数组、指针、甚至是其它结构体五.结构体变量的定义和初始化有了结构体类型，如何定义变量 ---- ---- 六.结构体成员访问...6.1结构体变量访问成员结构变量的成员是通过点操作符（.）访问的点操作符接受两个操作数。...---- 6.2结构体指针访问指向变量的成员（箭头操作符 ->）有时候我们得到的不是一个结构体变量，而是指向一个结构体的指针。...如果传递一个结构体对象的时候，结构体过大，参数压栈的的系统开销过大，所以会导致性能的下降。结论：结构体传参的时候，要传结构体的地址。

1272 0

C语言结构体

结构体结构体的声明 struct TAG { //member_list;//结构体内部成员 }/*variable*/;//结构体的名字,或者指针在这里例如 struct...tag { int i;//结构体内部成员 char a;//结构体内部成员 double e;//结构体内部成员 char arr[];//结构体内部成员 }F,*p;//结构体的名字,或者指针在这里...数倍例如 struct A { char a; int b; char c; }; struct B { char a; char b; int c; };...struct C { int c; char a; char b; }; struct D { int a; short b; char c; }; int main() { printf...//4个字节 4-7 4的倍数正好 8 }; struct C { int c;//4 0-3 char a;//1 4 char b;//1 5 因为要是4的倍数占到8 }; struct

761 0

【C语言】结构体

前言在C语言中，有两种类型，一种是内置类型，可以直接使用，包括char short int long long long float double;一种是自定义类型，当内置类型不能满足时，支持自定义一些类型...来看看这个例子： struct S1 { char c1; char c2; int a; }; struct S2 { char c1; int a; char c2; }; int...对于s1而言:char c1,占一个字节，而VS中默认的值为8，1小，所以选择1，而结构体的第⼀个成员对齐到相对结构体变量起始位置偏移量为0的地址处。所以c1就占了0。...总的用了8个地址空间最后最后因为结构体总大小为最大对齐数（结构体中每个成员变量都有一个对齐数，所有对齐数中最大的）的整数倍，这里最大的为4，所以就是8 对于s2而言: char c1和s1中的一样...结构体实现位段结构体讲完就得讲讲结构体实现位段的能力 6.1 什么是位段位段的声明和结构是类似的，有两个不同：位段的成员必须是 int、unsigned int 或signed int ，在C99

1571 0

C语言——循环结构

C语言提供了while，do...while，for三种语句构成循环结构。...但是这两个内存循环不能相互交叉； 3，①嵌套循环的跳转：只能跳出本层循环；②禁止从外层跳入内层；禁止跳入同层的另一循环和向上跳转二，转移语句（1）break语句使用范围：break语句只能用于switch或循环结构中...用法：在switch语句中，break的作用是：结束switch结构。...流程图：（2）continue语句使用范围：只能用于循环结构中用法：当遇到continue语句时，程序会跳过位于 continue 后面的代码，直接回到判断的部分，进行下一轮的循环判断流程图：...（3）goto语句 goto是无条件转移语句（便于运用在：从多层循环结构代码中快速跳出）用法：同一个函数内，设置好标号后，goto可以无条件的把程序转移到语句标号所在的位置开始执行（可以跨层）举例

7941 0

【C语言】结构体

，如果没有对结构体进行重命名的话，仅能使用一次 struct { int a; char b; float c; }x; 形如上面代码的结构体未重命名的话，使用这一次便被回收 4...4个字节放入 char c2;//1字节，<8,放在8位置处 }; 又因为现在指向9位置处，9不是最大对齐数4的整数倍，所以要指向12处，所以结构体S1的大小为12字节 printf打印一下：...16 }; 因为最大对齐数为8，16为8的整数倍，所以结构体S3的大小就是16个字节 struct S4 { char c1;//1字节，放到0位置处 struct S3 s3;//16字节，以8为对齐数...，对齐的内存只需要一次访问，而不对齐的内存需要两次访问结构体的内存对齐是拿空间来换取时间我们可以将占用内存小的尽量集中在一起来节省空间 struct S1 { char c1; int i;...char c2; }; struct S2 { char c1; char c2; int i; }; 3、修改默认对齐数 #pragma #include #pragma

681 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭