搜索结果
查询Tags标签: pe,共有 72条记录-
不需要U盘一键重装系统
网址:https://windows.shcso.com/win1064.html 安装说明 一、本地硬盘安装: 1、将压缩包全部解压到D盘根目录(D:\)2、运行“PE一键装机.exe”3、点击“立即重装”。会提示是否重启,点击是,系统将自动安装。 二、U盘启动PE安装:将压缩包内的.esd系统拷贝到已制作启动…
2022/9/6 23:22:59 人评论 次浏览 -
PE格式: 分析IatHook并实现
Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的,与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的结构才能完成 Hook,接下来将具体分析 IAT Hook 的实现原理,并编写一个DLL注入文件,实现 IAT Hook 。 在早些年系…
2022/7/25 23:25:33 人评论 次浏览 -
Linux中扩展/增加LVM大小
Linux中扩展/增加LVM大小 主要步骤:将物理磁盘转换为物理卷(PV) 扩展卷组(VG) 增加逻辑卷大小(LV) 扩展文件系统(ext4,xfs等) 检查扩展的文件系统大小如果逻辑卷(LV)所在卷组中有未分配的磁盘空间,可以使用这些空间来扩展逻辑卷。 一、将磁盘/分区 初始化为物…
2022/7/13 5:20:21 人评论 次浏览 -
PE文件结构从初识到简单shellcode注入
本文首发自:https://tttang.com/archive/1553/ 前言 将自己学习的PE文件结构进行总结形成文章这件事情,一直躺在我的Notion TodoList里,但是一直是未完成的状态哈哈,拖了那么久也该让它状态变成已完成了。 PE文件简介 PE文件的全称是Portable Executable,意为可…
2022/6/30 5:21:01 人评论 次浏览 -
逆向工程核心原理
一.熟悉调试器 1.设置“大本营”的四种方法 每次重新运行调试器,都会回到程序的入口点,为方便使用,可以设置某个重要的点(地址),使调试可以快速转到设置点上。 (1)Goto命令 记录设置大本营的地址,执行Go to(Ctrl + G)命令,输入地址,使光标定位到该地址,按F4…
2022/6/23 23:25:01 人评论 次浏览 -
某cs stager钓鱼样本分析
目录PE信息分析伪装检测邮件创建线程加载shellcodecs stager shellcode PE信息分析 伪装检测邮件创建线程加载shellcode动态加载函数通过GetTickCount反沙箱、反调试通过uuid加载shellcodecs stager shellcode
2022/6/19 23:21:59 人评论 次浏览 -
PE头-关于内存地址反推和unpackme#1的应用
在unpackme#1的破解中,涉及到修改PE文件。 其步骤是现在在text节的空白处填写代码,并在PE文件中修改执行OEP。问题一 ee f8 01是怎么来的 je short 00401083是e9 96 01修改为ee f8 01的思路的关键是考虑到原有是经过加密,直接修改自己写的地址并非加密的,执行时是会出…
2022/5/6 7:12:54 人评论 次浏览 -
PE学习之重定位,内存加载dll
PE学习之重定位,内存加载dll 最近又复习了一下PE结构中重定位相关的内容,又想到内存加载dll这个未曾涉足的领域。 便想着自己实现一波。 可参考此篇博客,本人觉得结构清晰,简洁明了。 内存直接加载运行DLL 我写的应该比较口语化,流水账,啰嗦。 重定位主要是对代码里…
2022/5/1 7:15:23 人评论 次浏览 -
CFA - 乘数法估值
一、背景 每股收益EPS:净利润 / 发行股数 市盈率P/E = 每股股价 / 每股收益EPS市盈率为20,以为了该公司得发展20年后的收益,才匹配当前的股价。 那为何每个公司的市盈率不同?是因为不同公司未来发展速度不同。举例:互联网公司A和传统行业B,虽然目前EPS都是1,但A的股…
2022/4/29 6:15:54 人评论 次浏览 -
PE文件详解七
前面好几篇在讲输入表,今天要讲的是输出表和地址的是地址重定位。有了前面的基础,其实对于怎么找输出表地址重定位的表已经非常熟悉了。0x01 输出表结构当创建一个DLL文件时,实际上创建了一组能让EXE或者其他DLL调用的一组函数,PE装载器根据DLL文件中输出信息修正正在…
2022/4/4 23:22:33 人评论 次浏览 -
PE文件详解六
前面两篇讲到了输出表的内容以及涉及如何在hexWorkShop中找到输出表及输入DLL,感觉有几个地方还是没有理解好,比如由数据目录表DataDirectory[16]找到输出表表后以为找到输入DLL就完了,其实这一流程的最终功能是通过输入DLL找到输入DLL调用的函数,这一步骤是通过输出表…
2022/4/4 23:22:20 人评论 次浏览 -
PE文件详解五
前一篇了解了区块虚拟地址和文件地址转换的相关知识,这一篇该把我们所学拿出来用用了。这篇我们将了解更为重要的一个知识点——输入表和输出表的知识。 0x01 输入表首先我们有疑问。这个输入表是啥?为啥有输入表?其实输入表就是记录PE输入函数相关信息的一张表。那为什…
2022/4/4 23:22:12 人评论 次浏览 -
PE文件详解三
上一篇讲到了数据目录表的结构和怎找到到数据目录表(DataDirectory[16]),这篇我们我来讲讲数据目录表后面的另一个结构——区块表。 0x01 区块区块就是PE载入器将PE文件载入后,将PE文件分割成若干块,每块包含不同的信息,由读写数据块.data,代码块.code,只读数据块…
2022/4/4 23:22:06 人评论 次浏览 -
PE文件详解四
0x00 前言上一篇介绍了区块表的信息,以及如何在hexwrokshop找到区块表。接下来,我们继续深入了解区块,并且学会文件偏移和虚拟地址转换的知识。 0x01 区块对齐值首先我们要知道啥事区块对齐?为啥要区块对齐?这个问题其实困扰了我很久,只能怪我操作系统没学好。。。我…
2022/4/4 23:22:04 人评论 次浏览 -
Arm64-UEFI 启动Linux内核-Image文件-PE格式
背景介绍: 参考: http://www.wowotech.net/linux_kenrel/UEFI.html 1、UEFI是什么鬼? BIOS实际上就是IBM PC兼容机(多么古老的一个词汇啊)主板上的固件(firmware),这些固件可以在系统启动过程中初始化硬件,self test,加载bootloader或者OS kernel,并且能为OS提…
2022/3/6 7:15:32 人评论 次浏览
