草庐IT

PE_CONF_PWD

全部标签

windows - win32 PE 加密器 = 防病毒误报

我正在努力保护我的程序免遭破解和逆向工程。我用C++(VisualStudio2010)编写程序,还用汇编程序编写简单的加密算法。算法被添加到EXE文件中,使其更难破解,因为它是在主程序之前加载的。这不是一项艰巨的工作。但是……现在,我在virustotal.com上有很多大约50%的误报。当我尝试仅使用upxpacker时,我也遇到了同样的问题:(...每次。我多次修改算法但没有成功。你能帮帮我吗?谢谢。 最佳答案 正在开发一个名为Taggant的新项目(现已完成)。这会将一个签名标记嵌入到文件中,以标识加壳器的被许可人以及加壳器
防病windowssection加壳encryptionportable-executablefalse-positiveupx

windows - PE 文件中的重复导入条目

我正在对PE文件进行一些批量分析,在解析PE文件的导入表时,我发现许多PE文件为给定的DLL导入了重复的条目...这是为什么?这在功能上提供了什么?例如,example.exe导入表的转储显示:内核32.dllUser32.dll废话.dllKernel32.dllKernel32.dllUser32.dllshell32.dll提前致谢。 最佳答案 您所观察到的是正确且完全正常的!看看下面的图片,它显示了DependencyWalker正在分析ProcessExplorer的图像(静态)导入许多库。迟早一个库会导入一个已经被其他库
条目windowssectiondllnoreferrerexecutableportable-executable

windows - PE 可选 header 中的 SizeOfImage 是如何计算的?

HowisSizeOfImageinthePEoptionalheadercomputed?在尝试学习PE格式时,我遇到了可选header中的SizeOfImage字段。引用文档:Thesize(inbytes)oftheimage,includingallheaders,astheimageisloadedinmemory.ItmustbeamultipleofSectionAlignment.但是,我遇到过,如果我错误地设置了这个字段,那么可执行文件将不会运行,并且会显示一个error193(可执行文件格式错误):我如何计算SizeOfImage字段,如果设置错误,为什么可执行文件
SizeOfImagewindowscodesectionassemblyx86portable-executablewindows-process

windows - PE头文件中的CheckSum是做什么用的?

据我所知,我们需要链接器的/release开关来创建校验和值,谁能告诉我这是做什么用的? 最佳答案 我最近听说,当Windows加载校验和时,仅在驱动程序上验证校验和-大概是抵御病毒的第一道防线。 关于windows-PE头文件中的CheckSum是做什么用的?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/4147291/
CheckSumwindowssectionstackoverflow关来

python - 在哪里可以找到适用于 MS Windows 的 Python `pwd` 模块?

我在GNU+Linux上使用Python标准库pwd模块,但现在我尝试在MicrosoftWindows中运行我的应用程序,但找不到它。我正在使用python2.6.6。在哪里可以找到在MSWindows上的Python中使用的pwd模块? 最佳答案 来自thedocs:Platforms:Unix您需要在PyWin32和MSDN中挖掘Windows等效项。 关于python-在哪里可以找到适用于MSWindows的Python`pwd`模块?,我们在StackOverflow上找到一个
Windowspythonsection中运passwd

windows - 在Windows 10上安装quicklisp时,应该把~/.config/common-lisp/source-registry.conf.d/projects.conf放在哪里让ASDF找?

我试图让CommonLisp在我的Windows10机器上运行,但我遇到了让ASDF/(ql:quickload"...")加载项目的问题。我使用以下命令生成了给定的项目(在创建C:\Users\ig88t\src\lisp文件夹之后):(ql:quickload"quickproject")(quickproject:make-project"~/src/lisp/swatchblade/":depends-on'(vectohunchentoot))它正确地生成了项目,我可以在~/src/lisp/swatchblade查看源代码。但是我无法通过加载它(ql:quickload"s
confsource-registrycodequickprojectblockquotewindowswindows-10common-lispquicklispasdf

windows - 大于 2GB 的 PE 文件

我正在阅读Windowsviac/c++.我只是想知道一个大文件可以映射到内存。当我们执行一个应用程序时,一个PE文件被映射到它们的进程地址(用户分区)。在32位Windows中,可以将大文件(大于2GB)加载到用户分区吗?否则会失败?如果可能,分页文件是否有助于加载? 最佳答案 不,您不能-无论分页文件设置如何,您都会耗尽VA空间。 关于windows-大于2GB的PE文件,我们在StackOverflow上找到一个类似的问题: https://stacko
windows2GBsection大文stackoverflowpagingvirtual-memory

windows - PE文件格式中的基址重定位表是什么?

我在分析一个可执行文件的格式时,在image_optional_header中找到了Baserelocationtable,这个baserelocationtable是什么? 最佳答案 重定位表是一个查找表,它列出了当文件加载到非默认基地址时需要修补的PE文件的所有部分。这是PE文件的微软规范:https://github.com/tpn/pdfs/blob/master/Microsoft%20Portable%20Executable%20and%20Common%20Object%20File%20Format%20Speci
基址windowssection20winresdumpvisual-c++reverse-engineeringmalwaremalware-detection

Windows PE - 如果不在资源中,字符串存储在哪里以及如何存储?

通常.exe文件中的字符串(如对话框的内容/标题)存储在某种资源中。但在我反汇编/资源检查的一些最近的exe中,我找不到任何包含该字符串的资源,但它以某种方式用db硬编码到程序源代码中。如何提取和修改直接位于程序中的字符串?我假设它们等同于C++中的constchar*?为什么有人不“外包”对话框、菜单等内容? 最佳答案 到目前为止,从PE中获取字符串的最简单方法是strings实用程序,它是我遇到的每个Linux发行版(甚至是uCLinux)的标准配置。它几乎只是遍历整个二进制文件,寻找一系列以null结尾、可打印的ascii字符
Windows存储sectioncodedisassemblyportable-executable

windows - 在PE的导入表中添加一个条目

我正在寻找一个命令行程序来向PE文件的导入表添加一个条目。我的目标是从外部DLL添加一个新的导入函数到我的EXE,然后使用ollydbg使用代码洞穴插入新代码。新代码将使用新导入的函数。实际上我已经实现了我的目标,但是为了向我使用的导入表添加一个新条目Stud_PE,这是一个GUI应用程序,我想自动化这部分过程。我会考虑以编程方式解决方案,但我担心PE结构太复杂,我无法在我的时间范围内学习和探索。此外,如果一个实现已经存在,那么不使用它是一种耻辱。:-) 最佳答案 找到了正在寻找的东西。m-PEFileforc++:http://f
条目windowspeHeadersDWORDimportFunctiondllautomationportable-executable
12345