如何判断第一个节区头的RVA

结论:

第一个节区头的RVA = Size of Optional Header+IMAGE_OPTIONAL_HEADER的RVA

检验:

Size of Optional Header = 0xE0

IMAGE_OPTIONAL_HEADER的RVA = 0xF8

0xE0 + 0xF8 = 0x1D8

原文地址:https://www.cnblogs.com/chrysanthemum/p/12444259.html

时间: 2024-10-24 19:42:08

如何判断第一个节区头的RVA的相关文章

反病毒攻防研究第005篇:添加节区实现代码的植入

一.前言 上一篇文章所讨论的利用缝隙实现代码的植入有一个很大的问题,就是我们想要植入的代码的长度不能够比缝隙大,否则需要把自身的代码截成几个部分,再分别插入不同的缝隙中.而这次所讨论的方法是增加一个节区,这个节区完全可以达到私人订制的效果,其大小完全由我们自己来决定,这样的话,即便是代码较长,也不用担心.而这种方式最大的缺陷就是不利于恶意代码自身的隐藏,因此在现实中可能并不常用.其实,我在这里讨论节区的添加,是为了以后更加深入的讨论打下基础,因为在加壳以及免杀技术中,经常会对PE文件添加节区.这

使用 collectionView 实现表头,区头,区尾

UICollectionView 的使用是跟表的使用是一样,瀑布流的布局会比表的效果更好,这里说一下 collectionView 设置表头, 区头,区尾 设置表头可以约束 collectionView 居上的距离 其中区头,区尾 是继承 UICollectionReusableView 1 // 2 // HomePageViewController.m 3 // MainStoryboard 4 // 5 // Created by mac on 16/4/21. 6 // Copyrigh

带头结点的链表和声明指向第一个元素的头指针

严蔚敏老师的数据结构分析一书中,都是采用带头结点的链表,可能读者一时间还不知道是什么意思:首先看一段伪代码: L是链表的头结点 L=(LinkList)malloc(sizeof(LNode)); L->next=NULL; 链表的头指针也是一个结点,尽管这是一个空的结点,只是说明这个结点并没有携带任何有效的参数. 而我的实现当中确实没有分配一个结点,而只是一个指针,指向第一个元素. typedef struct SNode{     int nData;     SNode* pNextNod

jsp <c:forEach> 判断第一条 或 最后一条记录

<c:forEach>标签具有以下一些属性: var:迭代参数的名称.在迭代体中可以使用的变量的名称,用来表示每一个迭代变量.类型为String. items:要进行迭代的集合.对于它所支持的类型将在下面进行讲解. varStatus:迭代变量的名称,用来表示迭代的状态,可以访问到迭代自身的信息. begin:如果指定了items,那么迭代就从items[begin]开始进行迭代:如果没有指定items,那么就从begin开始迭代.它的类型为整数. end:如果指定了items,那么就在ite

第一步,统一头文件的大小写

这个问题之前有写脚本来完成,脚本bug比较多,修改了一下,加上了修改的log输出. 这次修改要保证每一处修改都要有记录,并且要标明修改原因. 有个问题,就是svn的文件也被修改了,这个有问题,不过我可以用备份文件的svn目录去覆盖.按理说,是可以在脚本中避免这种情况的,但是考虑到修复只需要覆盖一下,就懒得去动了. 另,在这次修改中,每次修改之前,都会备份,做多次备份,以备不时之需.用时间做备份的标签,反正硬盘大,不停的备份呗. 查看修改的log文件,基本没有问题,但是有下面两个问题: svn b

向PE文件中添加一个Section

背景 之前说过直接向类HelloWorld.exe的可执行文件添加一个MessageBox弹窗, 但有时候, 需要添加的内容太多了, 因为数据与代码一起插入, 以至于可执行文件本身没有足够的空闲空间存放这些内容时, 就需要添加一个Section. 确认节区头后面还有空间 用工具查看一下最后一个节区头后面是否还有多余的空间, 一般情况都会有的. 但若没有的话, 就要移动节区头后面的文件内容, 这个比较复杂, 在这里不说. 一般会结合PE View 和 WinHex 这两个工具, 如之前的Hello

逆向学习-Upack的PE文见头分析

重叠文件头 MZ文件头与PE文件头重叠. offest 0 e_magic:magic number = 4D5A('MZ') offest 3C  e_lfanew:File address of new exe header IMAGE_FILE_HEADER.SizeOfOptionalHeader 修改此值,可以向文件头插入解码代码. 增大此值,就在IMAGE_OPTIONAL_HEADER与IMAGE_SECTION_HEADER之间添加了额外空间.这个区域就被添加了解码代码. IMA

ELF(Executable and Linkable Format)学习

目录 0. 引言 1. ELF文件格式 2. ELF格式分析工具 0. 引言 可执行链接格式(Executable and Linking Format)最初是由UNIX系统实验室(UNIX System Laboratories,USL)开发并发布的,作为应用程序二进制接口(Application Binary Interface,ABI)的一部分.ELF标准的目的是为软件开发人员提供一组二进制接口定义,这些接口可以延伸到多种操作环境,从而减少重新编码.重新编译程序的需要.接口的内容包括: 1

LinuxELF文件格式详解--Linux进程的管理与调度(十二)

日期 内核版本 架构 作者 GitHub CSDN 2016-06-04 Linux-4.5 X86 & arm gatieme LinuxDeviceDrivers Linux进程管理与调度-之-进程的描述 对象文件格式 对象文件 首先,你需要知道的是所谓对象文件(Object files)有三个种类: 可重定位的对象文件(Relocatable file) 可执行的对象文件(Executable file) 可被共享的对象文件(Shared object file) 可重定位的对象文件(Re