Я прочитал несколько статей Мэтта Питрека о переносимых исполняемых файлах (PE), например: Подробный анализ формата переносимых исполняемых файлов Win32, Часть 1 и Часть 2 Статья MSJ о компоновщиках Статья MSJ о формате COFF...

У меня есть несколько вопросов о поле "подсистема" PE, которые могут частично совпадать. Чтобы не засорять это место каждым вопросом по отдельности, я решил задать их вместе, а затем переспрашивать по отдельности все, что не получило ответа....

Я сейчас пишу свою собственную версию загрузчика Windows (хотя и очень простую), и пока все идет неплохо. Однако я столкнулся с небольшой загвоздкой, когда дело доходит до рекурсивного обхода таблицы импорта для загруженного модуля. Для большинства...

Я знаю, что для поиска базового адреса текстовой (кодовой) секции нужно искать виртуальный адрес секции .text (кроме случаев, когда ASLR включен), но как насчет стека? Память стека хранится в разделе .data вместе с кучей? Если это так, я должен...

Я хотел бы задать вопрос относительно подключения IAT к моему собственному процессу. В настоящее время я пытаюсь подключить ExitProcess, чтобы он запускал определенную функцию перед любым вызовом ExitProcess, и я сталкиваюсь с некоторыми...

Я бы подумал, что размер поля инициализированных данных, расположенного в необязательном заголовке файла pe, будет размером всех разделов инициализированных данных, округленных до ближайшего выравнивания файла, точно так же, как рассчитывается размер...

Я делаю упаковщик (сжатие во время выполнения) для изучения файла формата Windows PE. Я знаю некоторые алгоритмы сжатия данных, такие как RLE, LZW, Huffman-endoing и т. Д. Но какой алгоритм лучше всего сжимает двоичные данные. точно так же, как файл...

Я хотел бы получить первую строку только из следующего вывода команды в Windows PE. Смотри ниже: wmic nic where "NetConnectionStatus=2" get netconnectionid |findstr /v "^Net"|findstr /v "^$" Выбор -First был бы вариантом, но он не работает....

Как я могу удалить данные IMAGE_DEBUG_DIRECTORY из раздела .rdata PE? Я использую MS Visual Studio 2015. Я проверил почти все параметры компиляции свойств проекта. Но данные IMAGE_DEBUG_DIRECTORY все еще существуют в моем выходном исполняемом...