在前面的笔记中,我总结了Pe结构的一些结构含义,并手动编写了几段PE结构遍历代码,这里我直接把之前的C语言代码进行了封装,形成了一个命令行版的PE文件查看工具,该工具只有20kb,但却可以遍历出大部分PE结构数据,非常实用,分享出来是因为后续教程需要用到解析,请熟练使用其所支持的命令行参数,命令行输入PETools.exe 即可使用. PE工具下载地址: https://lyshark.github.io/soft/PETools.zip 基本参数介绍: 输入GetPE直接弹出帮助菜单. 检查模…

我们已经学了许多关于 DOS header 和 PE header 的知识.接下来就该轮到 section table(节表)了.节表其实就是紧挨着 PE header 的一结构数组.该数组成员的数目由 file header (IMAGE_FILE_HEADER)结构中 NumberOfSections 域的域值来决定.节表结构又命名为 IMAGE_SECTION_HEADER. IMAGE_SIZEOF_SHORT_NAME equ 8 IMAGE_SECTION_HEADER STRUCT…

Linux操作系统的文件查找工具locate和find命令常用参数介绍 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.非实时查找(数据库查找)locate工具  locate命令的工作原理剖析: 用locate命令在搜索文件列表的时候,它并不是去硬盘中实时搜索文件,而是事先把磁盘上的所有文件预建文件索引数据库(即"/var/lib/mlocate.db"),查询时依赖于事先构建的索引(索引的构建是在系统较为空闲时自动进行,即周期性任务),这就是为什么它搜索文件非…

PE头 PE头由许多结构体组成,现在开始逐一学习各结构体 0X00 DOS头 微软创建PE文件格式时,人们正广泛使用DOS文件,所以微软充分考虑了PE文件对DOS文件的兼容性.其结果是在PE头的最前面添加一个 IMAGE_DOS_HEADER 结构体用来扩展DOSEXE头 IMAGE_DOS_HEADER typedef struct _IMAGE_DOS_HEADER { WORD e_magic; //DOS签名 4D5A WORD e_cblp; WORD e_cp; WORD e_crl…

[系统安全] 十六.PE文件逆向基础知识(PE解析.PE编辑工具和PE修改) 文章来源:https://masterxsec.github.io/2017/05/02/PE%E6%96%87%E4%BB%B6%E7%BB%93%E6%9E%84/   您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分析和恶意代码检测,"系统安全"系列文章…

用 SSH 来传输文件 PuTTY 提供了两个文件传输工具 PSCP (PuTTY Secure Copy client) PSFTP (PuTTY SFTP client) PSCP 通过 SSH 连接,在两台机器之间安全的传输文件,可以用于任何 SSH(包括 SSH v1.SSH v2) 服务器. PSFTP 则是 SSH-2 中新增的特性,使用的是新的 SFTP 协议,使用上与传统的 FTP 类似.事实上 PSCP 如果发现 SFTP 可用,PSCP就会使用 SFTP 协议来传输文件,否则…

BT Sync介绍 BT 下载,相信大伙儿都知道的.今儿个要介绍的 BT Sync,跟 BT 下载一样,都是 BitTorrent 公司发明滴玩意儿,都是采用 P2P 协议来进行传输. 简而言之,BT sync 是一个文件同步工具,让你在几台不同的设备之间,同步文件. 既然是“文件同步工具”,那么最基本的“增量同步”功能,当然是必不可少的.另外,据俺测试:同步完成之后,如果在“发起端”对文件改名,但是文件内容不变,BT Sync [不会]重传文件内容——这算是比较智能的. 下载链接:https:…

PE(Portable Execute)文件是WIN32下可运行文件遵循的数据格式,也是反汇编调试不可缺少的文件,常见的pe文件有.exe和.dll文件.本文主要介绍pe文件的结构和虚拟内存地址转换到文件地址的方法. pe文件的基本结构 主要的pe文件主要包含下面部分:例如以下图 .text节:由编译器产生,村反击本的二进制机器码,我们调试非常烦会变得而主要对象. .data节:数据块,宏定义,全局变量,静态变量等. .idata节:可运行文件使用的动态链接库和外来函数信息与文件信息等. .rs…

PE文件介绍 PE文件主要是windows操作系统下使用的可执行文件格式,PE文件是指32位的可执行文件也叫做PE32,64位可执行文件叫做PE+或者PE32+ PE文件格式 种类 主扩展名 可执行类型 EXE,SCR 驱动程序类型 SYS,VXD 库系列 DLL,OCX,CPL,DRV 对象文件系统 OBJ PE文件种类 严格地说OBJ(对象)文件之外的所有文件都是可执行的.DLL,SYS文件虽然不能直接在shell中运行,但是可以使用其他方法(调试器,服务等)执行. VA&RVA VA 指的…

c++字符串声明:一种是声明字符数组并赋值,另一种是直接声明string类 #define _CRT_SECURE_NO_WARNINGS #include<iostream> #include<string> #include "mycoach.h" using namespace std; void main() { char *name = (char*)malloc(sizeof(char)); strcpy(name,"陈培昌");…