【Linux】ps -ef|grep详解 Linux下显示系统进程的命令ps,最常用的有ps -ef 和ps aux。这两个到底有什么区别呢?...两者没太大差别,讨论这个问题,要追溯到Unix系统中的两种风格,System V风格和BSD 风格,ps aux最初用到Unix Style中,而ps -ef被用在System V Style中,两者输出略有不同...现在的大部分Linux系统都是可以同时使用这两种方式的。...ps -ef 是用标准的格式显示进程的、其格式如下 其中各列的内容意思如下 UID //用户ID、但输出的是用户名 PID //进程的ID PPID //父进程ID...CLONE_THREAD, 类似 NPTL pthreads); + //位于后台的进程组; ps命令将某个进程显示出来 grep命令是查找 中间的|是管道命令 是指ps命令与grep同时执行 PS是LINUX
这篇文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节表和数据目录表,那么他们有什么区别?...在之前谈到PE头的时候说到,在PE头中有一个结构是数据目录表,它的结构如下: IMAGE_DATA_DIRECTORY STRUCT VirtualAddress DWORD...每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。...从图上可以看出这个地址所对应的值正好是函数的名称MessgeBoxA 通过FirstThunk成员找到函数名称 首先根据PE文件的内容,可以知道,输入函数表在PE文件的偏移为0x00028000,而根据这个结构来看...,PE加载器才会将IMAGE_IMPORT_BY_NAME 结构中的值替换为对应函数的地址,所以要查找函数的地址就需要先将PE文件加载到内存,然后再将内存中的数据抓取下来,最后再来分析得出这个函数的偏移地址
ps命令将某个进程显示出来 grep命令是查找 中间的|是管道命令 是指ps命令与grep同时执行 PS是LINUX下最常用的也是非常强大的进程查看命令 grep命令是查找,是一种强大的文本搜索工具,它能使用正则表达式搜索文本...以下这条命令是检查java 进程是否存在:ps -ef |grep java 字段含义如下: UID PID PPID C STIME TTY ...CMD :所下达的是什么指令 ps -e|grep dae ps -f|grep dae [zzw@localhost 网设大作业]$ ps -ef|grep dae
本文转自小甲鱼的PE文件详解系列传送门 PE文件到内存的映射 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。...也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。...Windows 装载器在装载DOS部分、PE文件头部分和节表(区块表)部分是不进行任何特殊处理的,而在装载节(区块)的时候则会自动按节(区块)的属性做不同的处理。
本文转载自小甲鱼PE文件讲解系列原文传送门 这次主要说明导出表,导出表一般记录着文件中函数的地址等相关信息,供其他程序调用,常见的.exe文件中一般不存在导出表,导出表更多的是存在于dll文件中。...一般在dll中保存函数名称以及它的地址,当某个程序需要调用dll中的函数时,如果这个dll在内存中,则直接找到对应函数在内存中的位置,并映射到对应的虚拟地址空间中,如果在内存中没有对应的dll,则会先通过PE...这个只是一个导出序号导出给外部进行使用的,当我们在分析PE文件进行相关函数的定址时,不使用这个序号,表中也没有存储函数的导出序号 AddressOfNames 和 AddressOfNameOrdinals...从序号查找函数入口地址 定位到PE 文件头 从PE 文件头中的 IMAGE_OPTIONAL_HEADER32 结构中取出数据目录表,并从第一个数据目录中得到导出表的RVA 从导出表的 Base...接下来就是来实际分析一个PE文件。
本文转载自小甲鱼PE文件详解系列教程原文传送门 当应用程序需要调用DLL中的函数时,会由系统将DLL中的函数映射到程序的虚拟内存中,dll中本身没有自己的栈,它是借用的应用程序的栈,这样当dll中出现类似于...高4位一般是3,表示这个地址是一个32位的地址,它与 VirtualAddress 相加即是指向PE 映像中需要修改的那个地址的位置,注意这里不是定位到对应代码的位置 接下来进行手工的方式找到需要重定位的代码位置
本文转自小甲鱼的PE文件相关教程,原文传送门 咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用!...但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。 因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中进行定义。...因此这两个结构联合起来,才是一个完整的 “PE文件结构” 。...; 数据块的长度 IMAGE_DATA_DIRECTORY ENDS 在PE文件中寻找特定的数据时就是从这些IMAGE_DATA_DIRECTORY结构开始的。...最后再根据这些信息接着解析上节中的PE文件 PE头所在位置的偏移为0xf8 + IMAGE_OPTIONAL_HEADER 结构在IMAGE_NT_HEADERS结构中的偏移0x18 = OptionalHeader
这篇我就自己根据自己掌握的情况来写,还是在此处放上原文的连接: 原文(上)传送门 原文(下)传送门 什么是RVA 某个位置的RVA是该位置在内存中的地址相对于整个文件在内存中首地址的偏移值,举个例子,当PE...文件中某个全局区中的一个数值所在内存的地址为0x0040871234,而PE文件被系统加载到内存时,它的的首地址为0x00400000,那么这个数值的RVA就是0x0040871234 - 0x00400000...= 0x871234 RVA到文件偏移的转化 有了RVA之后,发现所有数据在内存中进行索引都十分的方便,只要有了基地址和RVA后,通过基地址 + RVA就可以找到对应的数据,但是在PE中并没有类似值来记录某个数据到文件头的偏移...,而且由于PE文件在内存中和在磁盘中的对齐值不同,造成某个数据在内存中的偏移和在磁盘中的偏移也不同,这样在磁盘中找到某些值就比较困难 虽然PE文件在内存中的对齐值与在磁盘中的不同,各个区块在内存中的地址与在文件中的不同
本文转自小甲鱼的PE文件详解系列原文传送门 到此为止,小甲鱼和大家已经学了许多关于 DOS header 和 PE header 的知识。...越学越多的结构,大家可能觉得PE挺乱挺杂的哈,所以这里插播下一下必要知识的详细注释,大伙可以按需要看。...节表总是被存放在紧接在PE文件头的地方。...因此,小甲鱼建议大家:当我们要从PE 文件中读取需要的区块时候,不能以区块的名称作为定位的标准和依据。...具体内容可以参考MSDN在线文档:传送门 下面通过一个例子来详细朔门这些内容:还是以上次那个为例 根据以前的内容可以知道这个文件PE头在0xf0的位置,上一次是通过各个结构体大小来找到PE头中这个
ps命令将某个进程显示出来 grep命令是查找 中间的|是管道命令 是指ps命令与grep同时执行 PS是LINUX下最常用的也是非常强大的进程查看命令 grep命令是查找,是一种强大的文本搜索工具,它能使用正则表达式搜索文本...以下这条命令是检查java 进程是否存在:ps -ef |grep java 字段含义如下: UID PID PPID C STIME TTY
一、概述: 1.名词解释: PE系统一般指windows PE,即windows预安装环境,是在windows内核上构建的具有有限服务的最小win32子系统,它用于安装windows而准备计算机,以便从网络文件服务器复制磁盘映像并启动...Windows PE 不是设计为计算机上的主要操作系统,而是作为独立的预安装环境和其他安装程序和恢复技术(例如 Windows 安装程序、Windows 部署服务 (Windows DS)、系统管理服务器...u盘里(具体优点见下图),所以是u盘pe系统,常见u盘pe系统有电脑店u盘pe系统,大白菜u盘pe系统等等。...二、制作U盘PE系统 准备工作:U盘一个,相关pe系统软件,如电脑店,大白菜 具体步骤:以大白菜u盘pe系统为例 完成上面5步大白菜U盘PE系统即制作完成。...但要想pe系统可以在电脑上实际运行,需要将电脑的系统引导顺序改为U盘优先(台式机一般按del键进入bios界面),然后引导进入PE系统启动界面,就可以放心的安装操作系统,破解密码等等了。
4D5A的时候,这个文件才被识别为可执行文件,这个结构在文件头位置 e_lfanew:指向PE文件头的指针,这个在偏移3c处 利用UE来分析可以看到,这两个在文件中的位置如下: PE文件头...PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。...装载到内存中时,PE状态器将从IMAGE_DOS_HEADER结构中的e_lfanew字段中岛PE Header的起始偏移量,加上基地址就得到PE文件的头指针PEHeader = ImageBase +...标志这 PE 文件头的开始。 “PE00” 字符串是 PE 文件头的开始,DOS 头部的 e_lfanew 字段正是指向这里。...(对于32位PE文件,这个值通常是00E0h;对于64位PE32+文件,这个值是00F0h )。 (7)Characteristics: 文件属性,有选择的通过几个值可以运算得到。
grep 命令是查找(Global Regular Expression Print),能使用正则表达式搜索文本,然后把匹配的行显示出来;
准备工具 1.微pe引导及其主要文件 链接:https://pan.baidu.com/s/1e-9zLoEkGLzMuNQ8pqQhpA 提取码:m0hl 2.linux分区软件 实例:gparted...他不支持uefi,并且步骤繁琐 提取微pe的引导文件 直接制作一个可启动分区,把微pe的文件放入就行了。...引用微pe官方的txt(从官方txt中获得的方法233) 感谢您安装了微PE工具箱,本目录包含了微PE的主要启动文件和内核镜像。...这些文件都是隐藏的,删除这些文件或格式化U盘即可删除PE。方法三安装到隐藏分区,在U盘根目录不会出现任何文件,若需要删除方法三安装的PE,只需用方法一二四五重新制作一次PE后手动格式化即可。...WALLPAPER.JPG - 若存在则为自定义PE桌面壁纸文件。 WEPE.INI - 外置程序的配置文件,可以对PE桌面、开始菜单等进行配置。
linux安装Node.js(详细)Node.js安装教程 文章目录 linux安装Node.js(详细)Node.js安装教程 1:下载 2:解压 3:移动目录 1:创建目录 2:移动目录并重命名 4...:设置环境变量 5:刷新修改 6:安装完成,查看版本号 1:下载 wget https://nodejs.org/dist/v14.17.4/node-v14.17.4-linux-x64.tar.xz...更多版本选择: ===》更多nodejs版本下载 2:解压 tar xf node-v14.17.4-linux-x64.tar.xz 可以查看当前目录下的文件,执行:ls (命令) 解压成功后可以选择删除压缩包...:rm -rf node-v14.17.4-linux-x64.tar.xz 其中:-f 会提醒是否删除 ;-rf 会强制删除,不会提醒。...3:移动目录 1:创建目录 mkdir /usr/local/lib/node 如果目录已经存在,则无需创建,也可以根据自己的喜好设置目录名称 2:移动目录并重命名 mv node-v14.17.4-linux-x64
PE Header 是PE相关结构 IMAGE_NT_HEADERS 的简称,其中包含了许多PE装载器用到的重要域。...1.6、装载一PE文件的主要步骤: 1.当PE文件被执行,PE装载器检查 DOS MZ Header 里的 PE Header 偏移量。如果找到,则跳转到 PE Header。...2.PE装载器检查 PE Header 的有效性。如果有效,就跳转到PE Header的尾部。 3.紧跟 PE Header 的是节表。...4.PE文件映射入内存后,PE装载器将处理PE文件中类似 Import Table(导入表)逻辑部分。...在PE文件中大多数地址多是RVAs 而 RVAs只有当PE文件被PE装载器装入内存后才有意义。如果直接将文件映射到内存而不是通过PE装载器载入,则不能直接使用那些RVAs。
在linux系统中,ps是简单而强大的进程查看命令,而ps -aux和ps -ef是打印出所有进程。...其中的参数详解如下:ps -aux是以BSD方式显示a显示所有用户的进程(show processes for all users)u 显示用户(display 在linux系统中,ps是简单而强大的进程查看命令...,而ps -aux和ps -ef是打印出所有进程。...其中的参数详解如下: ps -aux 是以BSD方式显示 a 显示所有用户的进程(show processes for all users) u 显示用户(display the process's...user/owner) x 显示无控制终端的进程(also show processes not attached to a terminal) ps -ef 是以System V方式显示,该种方式比
接上一篇文章 linux内核启动流程分析 - efistub的入口函数,我们继续看efi_pe_entry这个函数。 ?...继续看efi_pe_entry函数。...继续efi_pe_entry函数。...至此,efi_pe_entry函数就结束了。 如果熟读过uefi specification,该函数的大部分逻辑理解起来都非常简单,所以很多细节我就不再赘述了。...既然build.c只是将setup和compressed部分顺序拼接,并没有做地址的转换处理,那理应efi_pe_entry函数里使用的startup_32函数的地址就是0。
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。...(参考文献见后) 一.PE文件 什么是PE文件?...二.PE病毒概念 什么是PE病毒? PE病毒又称为Win32 PE病毒,或称为Win32病毒。它指所有感染Windows下PE文件格式文件的病毒。...因为它通常采用Win32汇编编写,而且格式为PE文件,因此而得名。PE病毒是以Windows PE程序为载体,能寄生于PE文件或Windows系统的病毒程序。...文件逆向基础知识(PE解析、PE编辑工具和PE修改) [系统安全] 十七.Windows PE病毒概念、分类及感染方式详解 2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析
[TOC] 0x00 MultiBootUSB在U盘上安装 如何在一个 U 盘上安装多个 Linux 发行版,这样你可以在单个 U 盘上享受多个现场版Linux 发行版了。...我喜欢通过 U 盘尝试不同的 Linux 发行版,它让我可以在真实的硬件上测试操作系统,而不是虚拟化的环境中。...创建单个可启动的现场版 Linux USB[1] 很简单,你只需下载一个 ISO 文件并将其刻录到 U 盘。但是如果你想尝试多个 Linux 发行版呢?...你可以使用多个 U 盘,也可以覆盖同一个 U 盘以尝试其他 Linux 发行版,但这两种方法都不是很方便。...MultiBootUSB 真的很便于在 U 盘上安装多个 Linux 发行版。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
