我试图通过在PE文件末尾添加一个额外的节头并在其中编写shellcode来进行PE感染。我已经添加了额外的部分并在其中编写了shellcode，并将原始入口点(OEP)更改为新添加的部分并且它执行得很好；我的意思是我的shellcode运行良好，但现在我想恢复主进程，为此我需要再次将修改后的入口点更改为OEP。但是，我无法弄清楚。请告诉我是否有任何方法可以在执行shellcode后恢复主进程。而且，我也试过这个blog，但它也不起作用，因为作者编写了内联汇编代码并放置了一些占位符以在运行时恢复OEP，这将动态嵌入到shellcode中。我正在考虑编写一个包含JMPto_OEP的shel

我最近重新安装了XP，然后又安装了SP3，目前每当我尝试从网络共享中复制某些内容时都会遇到错误。Title:InternetExplorerMessage:Thispagehasanunspecifiedpotentialsecurityflaw.Wouldyouliketocontinue?我相信它与KB921398(MS06-045)有关我目前正在卸载SP3，但有人知道是否有其他方法可以禁用此特定更新吗？它不会出现在“添加和删除程序”中。通过在InternetExplorer的安全设置中将任何网络ip掩码添加到受信任的Intranet区域有一个临时修复，但这不是修复:(

我打开了一个我用ImageHlp.dll编写的程序来尝试一下，我注意到文件中似乎有很大的空白。据我了解，对于每个PE部分，部分标题将其在文件中的偏移量指定为PhysicalAddress，并将其大小指定为SizeOfRawData，因此所有内容均来自PhysicalAddress到PhysicalAddress+SizeOfRawData应该是那个部分。但是有大量EXE文件没有包含在这些范围内，所以我一定遗漏了一些东西。我知道我可以使用ImageRVAToSection并给它一个RVA地址来找出RVA位于哪个部分。有什么方法可以对文件偏移量做类似的事情吗？我怎样才能找出哪个PE部分字节

我目前正在学习python并尝试使用pygame库制作一个小游戏。我在WindowsXp中使用python3.2.3和pygame1.9.2a。一切正常，除了一件事:如果我在游戏运行时进入另一个窗口，它会崩溃并且我在控制台中收到错误消息:FatalPythonerror:(pygameparachute)SegmentationFault我从我的程序中取出的这段代码似乎是导致错误的原因，但是我看不出有什么问题:importpygamefrompygame.localsimport*pygame.init()fenetre=pygame.display.set_mode((800,600

我正在使用“PE编辑器”检查Windows可执行文件，它显示入口点为0x15B8，我们如何确定该入口点的地址为虚拟地址？ 最佳答案 入口点是相对于模块的加载地址存储的。模块可以通过设置IMAGE_OPTIONAL_HEADER中的ImageBase字段来声明其首选地址(参见thispage)。但是，操作系统可以自由选择另一个地址，或者是因为首选地址正在使用中，或者是最近因为ASLR。我不确定你在什么环境下运行这个，但如果你用一个实时运行的程序来做这个:这是一个实现细节，但在NT上你可以转换一个HMODULE成一个指针，这是模块的加载

我有一个PE文件，我尝试反汇编它以获取它的说明。但是我注意到.text段不仅包含指令，还包含一些数据(我使用IDA注意到这一点)。这是示例:.text:004037E4jmpds:__CxxFrameHandler3.text:004037EA;[00000006BYTES:COLLAPSEDFUNCTION_CxxThrowException.PRESSKEYPAD"+"TOEXPAND].text:004037F0;.text:004037F0movecx,[ebp-10h].text:004037F3jmpds:??1exception@std@@UAE@XZ;std::exce

我想编写一个从PE文件(.rsrc部分)中提取资源的脚本(或类似的东西。不关心是哪种语言)。我将Python的pefile和peutils用于各种PE任务，但找不到任何实际提取资源的东西。我们将不胜感激。谢谢，摩西 最佳答案 是否PEDUMP工作？参见here有关如何使用它的说明。来自快速扫描thisarticle似乎展示了如何解码资源部分。最后this显示一些提取资源的C++代码。 关于windows-通过脚本/命令行从PE文件中提取资源，我们在StackOverflow上找到一个类似

我正在编写我自己的WindowsLoader版本(尽管是一个非常简单的版本)，到目前为止一切顺利。但是，在递归遍历已加载模块的导入表时，我遇到了一些小问题。对于大多数依赖项，一切都很顺利，我可以简单地递归加载模块。但是，对于某些依赖项，这只会破坏目标进程。经过进一步调查，我意识到这是因为Windows并行程序集。本质上，加载的PE中的依赖项是目标进程中使用的模块的不同SxS版本。在一种情况下，我正在加载的DLL引用了msvcr90.dll，但目标进程使用的是运行时的早期版本:msvcr71.dll。现在，windows加载程序可以很好地处理这个问题，所以显然有一种“正确”的方法可以做到

在Windows中，有没有办法检查页面是在内存中还是在磁盘(交换空间)中？我想知道这一点的原因是，如果页面在磁盘中，则通过不访问该页面来避免导致页面错误。 最佳答案 据我所知，没有记录在案的方法可以在用户模式下完成此操作。也就是说，可以在内核模式下确定这一点，但这将涉及检查属于内存管理器的页表条目——这不是您在任何类型的生产代码中真正不想做的事情.您要解决的真正问题是什么？ 关于Windows内存管理:checkifapageisinmemory，我们在StackOverflow上找到一

我正在尝试生成PE格式的可执行文件；我正处于dumpbin满意的阶段，据我所知，这与与Microsoft链接器链接的空程序没有本质区别，但Windows仍然拒绝它:PEfile-what'smissing?如果我有一些生成有效PE文件的算法，也许我可以从那里爬山。到目前为止，这是我发现的内容:有大量文档、示例代码和工具可用于阅读PE文件，而不是从头开始生成它们。PEBliss在其功能中列出了生成，但不会编译。用于生成PE文件的示例汇编语言模板专注于最小化大小。看起来最有前途的生成一个Windows拒绝的文件，尽管据我所知它应该被接受；具有讽刺意味的是，我发现确实有效的那个生成了一个Wi