相关推荐

C32Asm 反汇编16进制编辑器 ┆V1.0.1.7 中文版

C32Asm 反汇编16进制编辑器 ┆V1.0.1.7 免费版 c32asm 中文汉化绿色破解版 软件反汇编工具 十六进制编辑器 软件大小 2.15 MB 软件类型 国产软件/编程软件/绿色软件 运行环境 Win9X/2000/XP/Win2003 软件语言 简体中文 软件等级 解压密码 更新时间 2014-11-13 13:40:40 下载标签 16进制编辑器 C32Asm是一款非常不错的应用程序反汇编16进制编辑器，它拥有快速静态反编译PE格式文件(Exe、Dll等) 提供Hex文件编辑功能，功能强大 提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能。 提供输入表、输出表、参考字符、跳转、调用、PE文件分析结果等显示 提供方便的跳转、调用目标地址的代码显示 提供汇编语句逐字节分析功能，有助于分析花指令等干扰代码。 提供内存反汇编功能 提供汇编语句直接修改功能，免去OPCode的直接操作的繁琐 提供反编译语句彩色语法功能，方便阅读分析，能方便自定义语法色彩

PE文件结构学习

PE：Portable Executable File Format（可移植的执行体）。Windows平台主流可执行文件格式。.exe与.dll文件都是PE格式。32位的叫做PE32,64位的叫做PE32+。PE文件格式定义在winnt.h头文件中。   PE文件格式总览：   PE文件使用的是一个平面地址空间，所有代码和数据都被合并在一起，组成一个很大的结构。文件的内容被分割为不同的区块...

Windows PE 第一章开发环境和基本工具使用

第一章Windows PE 基本工具 1.1开发语言MASM32 1.1.1设置开发环境 这个不细说了，我在整理Intel汇编的时候详细的说了环境搭建以及细节。地址是:http://blog.csdn.net/u013761036/article/details/52186683 1.1.2 ...

PE学习.动手写PE.见缝插针

来自：http://bbs.pediy.com/showthread.php?t=138356 此贴用于申请邀请码！ 1.PE文件基本结构图 接下来，让我们动手吧！ 首先，让我们来明确下目的： 1.构建自己的pe程序，知道了pe文件的结构后，我们就可以按照p

C语言编程获取PE文件导出表内容

#include #include #include DWORD RvaToOffset(PIMAGE_NT_HEADERS pImageNtHeaders, DWORD dwRva); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDOSHeader; PIMAGE_NT_HEADERS pImageNT

C语言编写控制台下PE分析工具（二）

C语言编写PE格式分析工具

从零开始的PE格式学习

导语 如果你想学习PE病毒的编写，那么你首先得知道PE的格式和他的工作原理。 PE的百度百科 PE(Protable Executable),即可移植的执行体。在Windows操作系统平台下，所有的可执行文件如EXE文件、DLL文件、SYS文件、OCX文件、COM文件等均使用PE结构。 PE文件的结构 一张简简单单的图送给各位 还有一个比较详细的pdf送给各位 链接：https://pan.baidu.com/s/1SGU2AUQvzoHU9Foxx1-UYQ 提取码：ckdi MS-DOS（DOS头）

16进制编辑器可以很方便的用来修改文件哦

可以很方便的用来修改文件哦 包括马等，事实上我用它修改了explorer使得2K系统的任务栏变为真彩

PE文件格式概述

本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写

JIURL PE 格式学习总结（四）-- PE文件中的资源

JIURL PE 格式学习总结（四）-- PE文件中的资源作者: JIURL                  主页: http://jiurl.yeah.net/     日期: 2003-4-24     程序所用到的各种资源，比如 bmp,cursor,menu,对话框等都存在PE

PE文件结构简述

简述： PE文件结构分为五个部分： DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件中显示的所有地址基本都是RVA，倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址（VA=virtual address）：每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存，虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址（RVA=relatively virtual address）：相对虚拟地址是相比较于文件开头的地

非PE文件类型攻击小结

非PE攻击，包括hta、rundll32、powershell、office文档等方式攻击

PE文件格式详解（一）

转载地址点击打开链接

PE文件格式分析

一、PE的基本概念     PE（Portable Execute）文件是Windows下可执行文件的总称，常见的有DLL，EXE，OCX，SYS等，事实上，一个文件是否是PE文件与其扩展名无关，PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器（又称PE加载器）遍历PE文件并决定文件的哪一部分被映射，这种映射方式是将文件较高的偏

C语言 PE文件获取自身大小

#include <windows.h> #include <stdio.h> DWORD GetPEFileRealSize(LPCTSTR lpszFile) { DWORD dwSize = 0; int i = 0; HANDLE hFile = CreateFile(lpszFile, GENERIC_READ, FILE_SHARE_READ, 0, ...

PE文件结构

什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台：ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间：这个地址空间指的是PE文件被加载到内存的空间，是一个虚拟的地址空...

PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump

PEDUMP程序自从1994年的版本以来，已经有了明显的改善。它可以显示在PE里的每一个数据类型，包括： IMAGE_NT_HEADERS 　 输入/输出表 　 资源 　 基址重定位 　 debug目录 　 延迟装入输入表 　 绑定输入描述符 　 IA-64异常处理表 　 TLS初始化数据 　 .NET运行时头部 除了可导出PE可执行文件外，PEDUMP也能导出COFF格式的OBJ文件、COFF输入库（新的和旧的格式）、COFF符号表和DBG文件。 PEDUMP是一个命令行程序，不带任何选项对我刚刚描述的文件类型去运行，将会有一个包括许多有用数据结构的缺省导出。几个可以有额外输出的选项列在如下： ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ /A　 dump里包括所有的内容 　 /B　 显示基址重地位 　 /H　 包括区段的16进制形式dump 　 /I　 包括输入地址表thunk地址 　 /L　 包括行号信息 　 /P　 包括PDATA（运行时函数） 　 /R　 包括详细的资源（字符串表和对话框） /S　 显示符号表

《Windows PE》第一章 PE学习环境搭建

可以看出，当程序调试的时候，如果修改了 test1.asm，也就是说test1.obj的文件时间比test1.asm 要早，就需要重新执行步骤（1）和（4）。隐含规则不能有依赖文件，所以下面没有内容，例子中的第17、18行定义了从 asm文件建立obj文件的隐含规则，第19和20行定义了从rc文件建立res文件的隐含规则，隐含规则中无法指定确定的输入文件名，因为输入文件名是泛指的有相同扩展名的一整类文件，这时候就要用到几个特殊的内定宏来指定文件名，这些宏是$@，$*, $?为了能存放自己编写的汇编代码。