参考资料
- 微软官方资料1 :整体介绍PE格式。
- 微软官方资料2 :详细介绍内部重要结构体,当字典用。
- 微软官方资料3 :一份旧版的官方资料,没事儿可以看看。
- 微软官方资料4: winnt.h头文件中搜索Image Format,可以看到相应结构体的定义。
- PE文件解析基础 :适合初学者参考。
- PE file format :图做的直观。
- 深入理解PE结构之DOS头和DOS stub :对dos头的详解。
- pe101zh.png :PE格式剖析图。
- 滴水逆向-手动解析PE头&
 E头字段说明及课后练习 :配合滴水逆向三期45-50的视频一起看,再做做练习,效果max!
- RichPE :Rich头的一些资料汇总。注意:rich头没有官方文档。
- richhash :文中有提到rich头的应用。
- VB2019 paper: Rich Headers: leveraging this mysterious artifact of the PE format :rich头的详细介绍。
- New Windows RAT Evades Detection for Weeks Using Corrupted DOS and PE Headers :dos头应用的相关信息。
工具
- pe-bear: pe格式查看器,非常好用,非常直观,推荐。(一些经典的pe查看工具,比如PETools,可能无法正确解析64位的pe文件)
- 下载地址:https://github.com/hasherezade/pe-bear/releases
- HxD:免费的二进制文本查看器,可以打开程序的内存映像,完美替代winhex。适合初学者。
- 下载地址:https://mh-nexus.de/en/hxd/
- dumpbin:命令行工具,可以输出PE信息。
- 下载地址:安装vs2022 IDE时自带。
- 基础用法:点击开始(桌面左下角的win图标) → 找到visual studio 2022文件夹 → 展开 → 点击Developer Command Prompt for vs 2022 → 输入如下指令:
- dumpbin /headers "C:\Windows\System32\notepad.exe"
- Microsoft (R) COFF/PE Dumper Version 14.42.34435.0
- Copyright (C) Microsoft Corporation. All rights reserved.
- Dump of file C:\Windows\System32\notepad.exe
- PE signature found
- File Type: EXECUTABLE IMAGE
- FILE HEADER VALUES
- 8664 machine (x64)
- 7 number of sections
- 6DF9F3AD time date stamp
- 0 file pointer to symbol table
- 0 number of symbols
- F0 size of optional header
- 22 characteristics
- Executable
- Application can handle large (>2GB) addresses
- ...
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
