在前面的笔记中,我概括了Pe结构的一些结构性影响。PE结构的一些要素是亲手创造的。我刚关闭了这里的C语言代码开发了用于查看 PE 文件的指令行工具 。工具大小仅为 20 kb 。然而,它们可以查看大部分经济实体的结构数据。非常实用,之所以提供,是因为后续课程要求对其加以解释。请使用您熟悉的命令行参数 。要访问 PETools, 请使用命令线 。
com/QU3iF4ql。 校对:Soup
访问 GETPE 即时弹出帮助菜单, 学习基本参数 。
/ check-module-module-opened-protect
校验模块的完整性:运行中的流程 PID 足以确定模块是否有无障碍连接。
验证某个模块地址, 如用户322. 信件BoxA 在 dll 中的地址, 可以执行 :
十六进制+减去计算:十六进制+减去可以快速和容易地计算,无需计算。
GetPE C://lysark -- -- 通过 DOS 头条头条标题显示 DOShead
遍历NT头数据:C:pe>pe.exe ./x86.exe --ShowNtHead
遍历Section节表:C:pe>pe.exe ./x86.exe --ShowSection
遍历程序中的导入函数:C:pe>pe.exe ./x86.exe --ShowImportByDll
查询指定DLL中的导入函数:C:pe>pe.exe ./x86.exe --ShowImportByName USER32.dll
查询全部导入表,导入函数:C:pe>pe.exe ./ddd.dll --ShowImportAll
查询Export导出表:C:pe>pe.exe ./ddd.dll --ShowExport
查询重定位表:C:pe>pe.exe ./ddd.dll --ShowFixReloc
显示所有的 DLDDGetPE 导入 c: lysark -- showimportByDll
GetPE c://lysark - 显示进口BY 名称 USER32。 dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dll dlldd dll dll dll dll dll dll dll dlldd
GetPE C://lysark -- 显示所有导入功能 。
GetPE C://lysark -- 显示importByFunc 获取ModuleFileName 指定是否引用 API :
数据目录表检索量: GetPE c://lysark -- -- 显示数据表日志
完整搜索数据目录:
文件导出表检索: GetPE c://lysark.dll-showExport
GetPE C://lysark.dll-showFixRelocPage 以追溯重新定位区块 :
GetPE c://lysark.dll-ShowFixRelocrva001,00 以显示选定重新定位区块的迁移信息。
GetPE C://lysark.comdll-ShowFixReloc c://lysark.comdll-ShowFixReloc c://lysark.comdll-ShowFixReloc c://lysark.com == == ==
GetPE C://lysark. I'll -repairFixReloc dump. 试图修复重新定位的桌子:
试图确定目标指纹:试图使用内在特征确定目标指纹。
这是一本手册,根据微软的定义, 很容易理解, 但它很有挑战性, 我需要强化后续课程的工具, 保持安静, 并计划下一次。