在笔者上一篇文章《驱动开发：内核解析PE结构导出表》介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中LyShark封装实现了K…

1. 概述 PE文件的全称是Portable Executable，意为可移植的可执行的文件，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件（可能是间接被执行，如DLL）。它是1993年Windows …

PE格式定义的主要地方位于我们的头文件winnt.h，这个头文件中几乎能找到关于PE文件的所有定义。   在很多编译器、调试器中都会带有这个头文件，如VC6.0、codeblocks、Ollydbg等，在自己的电脑上一搜就有好多个。   整个的头文件winnt.h代码…

在笔者上一篇文章《驱动开发：内核特征码搜索函数封装》中为了定位特征的方便我们封装实现了一个可以传入数组实现的SearchSpecialCode定位函数，该定位函数其实还不能算的上简单，本章LyShark将对特征码定位进行简化，让定位变得更简…

用Python生成一个PE文件，主要是为了学习PE格式，因为看很多红队工具的原理都要掌握这个，这篇文章主要是记录调试代码的过程。 主要使用的是Python3。 有关PE的文件结构描述，之前写过一个简短的对每个字段的描述 描述pe格式的主要地方是winnt.h，其中有一节叫做Image Format…

签到 题目来源 CTFshow-菜狗杯-Crypto 题目密文 63746673686f777b77656c636f6d655f325f636169676f755f6375707d 题目考点 十六进制串转字符 解题过程 观察密文，像是base16或字符的十六进制序列 采用CTF编码工具进行十六进制转字符，得到答案 ctfshow{welcome_2_caigou…

初步分析 本题是驱动的修复及调试……(:з」∠) 拿到sys文件，发现是PE格式，于是直接IDA反编译 沿着DriverEntry向里查找，发现这里 这里创建了硬件设备对象和符号链接并传入DriverObject MajorFunction就很明显了 PDRIVER_DISPATCH MajorFunct…

这个学期终于圆了当年来读渣电的网络安全专业的一个梦：PE病毒编写。 想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解，可是搞到后面很多东西不理解做的不深入，所以就先一本心思的考上渣电，然后再来深入的学习一下PE的相关。 后…

目的：使用一个具体例子查询输入表的真实模样；notepad.exe加载到内存时，查询输入表的INT，用这个INT中的函数名对应的真实地址填充notepad.exe内存中IAT的过程；PE文件装在完后，通过IAT就可以找到函数在内存中…

PE简介 PE文件衍生于早期建立的COFF文件格式,EXE和DLL文件实际上用的是同一种文件格式，唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。64位Windows格式为PE32。只是简单的将以前的32位字段扩展到64位。 重要要点 要认识到PE文件不是作为单一内存映射文件…

【实验名称】 手工编写PE文件 【实验目的】 1.了解PE文件的概念、结构 2.熟悉PE编辑查看工具，详细了解PE文件格式 3.重点分析PE文件文件头、引入表、引出表，以及资源表 【实验原理】 1.PE文件概述 PE文件的全称是Portable Executable，意为可…

标题：PE文件解析 作者：猫猫、有点乖 文章目录 1 IMAGE_DOS_HEADER2 IMAGE_NT_HEADERS2.1 IMAGE_FILE_HEADER2.2 IMAGE_OPTIONAL_HEADER32 3 IMAGE_SECTION_HEADER4 RVA 与 FOA 之间关系及转换5 IMAGE_EXPORT_DIRECTORY6 IMAGE_IMPORT_DESCRIPTOR7 重定位…

学习目的 本节的目的就是教会我们在一个可执行文件的代码节的空白区添加一段代码。 大致思路：正常的文件中OEP记录着程序入口的地址，现在我们将此可执行文件的程序入口OEP地址指向call0 x123456指令的地址，使其先执行我们添加的代码&#x…

代码加密功能的实现原理，首先通过创建一个新的.hack区段，并对该区段进行初始化，接着我们向此区段内写入一段具有动态解密功能的ShellCode汇编指令集，并将程序入口地址修正为ShellCode地址位置处，当解密功能被运行后则可…

最近在参考OpenShell为任务栏设置图片背景时，发现里面使用了IAT Hook，这一块没有接触过，去查资料的时候发现IAT Hook需要对PE文件结构有一定的了解，索性将PE文件结构的资料找出来，系统学习一下。 PE文件结构 Portable…

一、介绍 PE文件，即Portable Executable文件，是一种标准的文件格式，主要用于微软的Windows操作系统上。这种格式被用来创建可执行程序（如.exe文件）、动态链接库（.DLL文件）、设备驱动&#xff0…

一、错误详细情况 “/OA”应用程序中的服务器错误。 配置错误 说明:在处理向该请求提供服务所需的配置文件时出错。请检查下面的特定错误详细信息并适当地修改配置文件。 分析器错误消息: 无法识别的属性“targetFramework”。请注意属性名称区分大小写。 二、IIS6的解决方法…

在安装VS2010后，应用.NET Framework 4创建的网站放在IIS（7.0）下会出现如下的错误： 其中的“版本信息”中告诉了我们.NET Framework和ASP.NET的版本都是2.0，而我们制作网站的时候使用的.NET Framework 4.0，所…

在访问IIS网站时遇到如下报错 根据提示我们知道是系统已经安装的.NET版本低于程序要求的版本，需要安装符合要求的版本来解决此问题，此时如果使用“服务器管理器”采用点选的方式安装.NET4.5,发现并不能解决此问题，报错依旧 原因为我们的系统…

在配置IIS服务器网站是遇到下面的问题：Configuration Error Description: An error occurred during the processing of a configuration file required to service this request. Please review the specific error details below and modify your configuration f…