本文转载自小甲鱼PE文件讲解系列原文传送门 这次主要说明导出表,导出表一般记录着文件中函数的地址等相关信息,供其他程序调用,常见的.exe文件中一般不存在导出表,导出表更多的是存在于dll文件中.一般在dll中保存函数名称以及它的地址,当某个程序需要调用dll中的函数时,如果这个dll在内存中,则直接找到对应函数在内存中的位置,并映射到对应的虚拟地址空间中,如果在内存中没有对应的dll,则会先通过PE加载器加载到内存,然后再进行映射 导出表结构 导出表(Export Table)中的主要成分是一…

PE文件是Windows平台下可执行文件标准格式,浓缩了微软工程师的设计精华,历经40年依旧保持着原有的设计.分析PE文件对于研究Windows操作系统有着重要的实践意义,对于逆向分析有着重要的指导作用.今天我们分析一个PE文件--Alimail.exe,看看它依赖的库有哪些. 首先用Hexworkshop工具打开Alimail.exe,注意3cH的位置,这里是PE头文件的地址:0x0118 接着,我们跳往0x0118,此处为PE头文件 跳往PE头文件+80H处,此处存储输入数据表地址:0x04…

合肥程序员群:49313181.    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入) Q  Q:408365330     E-Mail:egojit@qq.com 综述: 首先说明我也只是PE文件的初学者,我所写的都是自己的学习记录.前3节学习了PE的一些结构,其中包括DOS头和PE头部分.总是这样去学习这些机构和理论的分析我想大家和我一样毫无兴趣,提不起精神.所以我尝试着在自己对PE了解的基础上用C++写一个小程序分析PE结构文件.我所接触的教程都是Win32汇编去实…

合肥程序员群:49313181.    合肥实名程序员群 :128131462 (不愿透露姓名和信息者勿加入)Q  Q:408365330     E-Mail:egojit@qq.com PE文件结构综览: 首先上图片: 看到上面的图片可以清晰的看到PE结构复杂结构式什么样子的.有DOS首部,PE头部,PE节表,很多的表块,最后就是一些调试信息. DOS头由DOS 'MZ' HEADER 和DOS stub组成,DOS "MZ"头中的MZ是PE文件的一个标志之一.后期我们在写PE小工…

一.本节用到的基础知识 1.逐行读取文件 for line in open('E:\Demo\python\json.txt'): print line 2.解析json字符串 Python中有一些内置模块可以非常便捷地将json字符串转换为Python对象.比如json模块中的json.relaods()方法可以将json字符串解析为相应的字典. import json s='{ "a": "GoogleMaps\/RochesterNY", "c&qu…

一个PE文件的逆向分析 idf-ctf上有个题,是PE文件的逆向,反正对我来说做出来就是有意思的题,做不出来就没劲.言归正传,下面看一下吧 大家想玩可以去这个地方去拿题http://pan.baidu.com/s/1dDzUL0X 然后,上次说到了IDA的F5插件,是的,很牛.之前不用是因为太菜,不会......然后这次用了下,果然神器,所以最近也很有必要学一学IDA的东西,推荐大家看<IDA Pro权威指南>. 好的吧,先把文件拖peid,没壳.然后拖OD,捣啊捣,脑袋大,下断点啊啥的,反正…

一.基本信息 样本名称:1q8JRgwDeGMofs.exe 病毒名称:Worm.Win32.Agent.ayd 文件大小:165384 字节 文件MD5:7EF5D0028997CB7DD3484A7FBDE071C2 文件SHA1:DA70DDC64F517A88F42E1021C79D689A76B9332D 二.分析样本使用的工具 IDA5.5 OnlyDebug RadASM Notepad++以及EditPlus 三.样本文件信息简介 PE文件的感染的方式比较多,很多PE感染的方式是…

一.病毒名称:Win32.Loader.bx.V 二.分析工具:IDA 5.5.OllyDebug.StudPE 三.PE文件加节感染病毒简介 PE病毒感染的方式比较多,也比较复杂也比较难分析,下面就针对PE文件感染之加节的方式进行汇编层次的深度分析,其实说来惭愧,第一接触这个病毒样本的时候也有 点手足无措,最后还是在别人的指导下才顺利的分析下来,开始分析该样本的时候,仅仅关注这个样本是木马病毒这个特点而忽略他的PE感染的特性.下面就该样本的传播方 式进行逐一分析,其实还蛮怀恋分析样本的那些时间…

1. 背景 Zephyr项目Flash和Ram空间比较紧张,有着非常强烈的优化需求. 优化的前提是量化标的,那么如何量化Flash和Ram的使用量呢? 在量化之后,首先要对量化结果进行分析,然后采取措施进行空间优化. 2. 基于ELF信息和linker.cmd分析Flash/Ram使用量 linker.cmd文件中规定了不同section在Flash还是在Ram中,还是兼而有之. 这是一个很有用的信息,基于此我们只需要去罗列每个section的symbol,然后统计大小:就可以知道section…

代码原文地址: https://www.snip2code.com/Snippet/144008/Read-the-PE-Timestamp-from-a-Windows-Exe https://gist.github.com/03152ba1a148d9475e81 直接上代码吧,引用过来以防链接失效: #! /usr/bin/env python2.7 # # Author: Pat Litke (C) 2014 # # This code is free software: you can…