PE

最近研究策略时，突然想到，可以统计一下历史数据中，PE 与其后一年的 PE 增长率（以下简写为 G_PE）数据，看看是否有规律。 下面将从每年的年报之后最新的数据，从基金、股票两个角度分别进行统计。 基金持仓的 PE 与 G_PE 的关系统计 我统计了股票持仓 30% 以上的基金，其成立期间，每年期 ......

前段时间项目需要实现对 Windows PE 文件版本信息的提取，如文件说明、文件版本、产品名称、版权、原始文件名等信息。获取这些信息在 Windows 下当然有一系列的 API 函数供调用，简单方便。 ......

这种方法其实是 PE 感染的一种，通过对目标程序添加一个新节并注入DLL，然后这会改变 PE 文件的大小，将原有的导入表复制到新节中，并添加自己的导入表描述符，最后将数据目录项中指向的导入表的入口指向新节。 ......

因近期项目需要弄一款注入型的程序，但多次尝试后发现传统的API都会被安全软件拦截，比如 CreateRemoteThread、SetWindowHookEx、APC、GetThreadContext、SetThreadContext，甚至 NtCreateThreadEx 也是如此，也有试想过用驱动... ......

1、工具/原料： U盘（4g以上 -- 因为win10的镜像有4个g以上）、微Pe软件 2、方法/操作 首先，使用百度搜索“微Pe工具”下载软件，此软件相对来讲比较小，只有117M，而且操作简单。 之后双击软件运行，在”安装至其它介质“后，选择第一个图标--安装PE至U盘。 在弹出的第二个页面中，确 ......

【补充点】PE8规范 > [Python注释补充之PE8规范](https://www.cnblogs.com/Jack-ze/p/17401922.html) 【一】PEP 8规范 - PEP是Python Enhancement Proposal的缩写，代表Python增强提案。其中第8号增强提 ......

「傲梅轻松备份」 摘自：https://www.abackup.com/easybackup-tutorials/how-to-make-pe-boot-disk-6540.html 下载 https://www.abackup.com/go/download/backup/EasyBackup.e ......

1.Download 微PE Install it. https://www.wepe.com.cn/download.html 2. Reboot your system, Select 微PE to start. 3. Open CGI备份还原 . Tips. Step 3 , choose y ......

目录GitHubPE权威指南随书源码WinHex PE权威指南学习笔记: GitHub PE权威指南 全书翻译为MD，方便做笔记和检索 随书源码 分为C和ASM版，已做注释 ASM C WinHex 对PE文件进行标注 ......

本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还是需要用到`《内核解析PE结构导出表》`中所封装的`KernelMapFile()`映射函数，在映射... ......

在笔者上一篇文章`《内核解析PE结构导出表》`介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中`LyShark`封装实现了`KernelMapFile()`内存映射函数，在之后的章节中这个函数会被多次用... ......

在笔者的上一篇文章`《内核特征码扫描PE代码段》`中`LyShark`带大家通过封装好的`LySharkToolsUtilKernelBase`函数实现了动态获取内核模块基址，并通过`ntimage.h`头文件中提供的系列函数解析了指定内核模块的`PE节表`参数，本章将继续延申这个话题，实现对PE文... ......

遇事不决，OPENAI 查看导出表信息 E:\IDE\VisualStudio2019\community>dumpbin /exports C:\Windows\System32\version.dll Microsoft (R) COFF/PE Dumper Version 14.29.3014 ......

导入表 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // ......

PE PE简介 可执行文件（executable file）指的是可以由操作系统进行加载执行的文件。 大致有两种可执行文件的格式： PE 文件格式（Windows 平台）； ELF 文件格式（Linux 平台）。 其中常见的PE文件格式的可执行文件有：exe, sys, dll 等。 PE文件格式与 ......

PeFile模块是`Python`中一个强大的便携式第三方`PE`格式分析工具，用于解析和处理`Windows`可执行文件。该模块提供了一系列的API接口，使得用户可以通过`Python`脚本来读取和分析PE文件的结构，包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外，PEfile模块还... ......

序 本文要压缩的PE文件来自软件漏洞这门课上布置的作业，代码逻辑很简单，直接运行就能看出来，就是调库来弹两个对话窗口。笔者主要记录一下对这个文件的分析和一步步实现手工压缩的过程。在此提供原文件的下载方式供大家复现：PE程序下载 先是介绍各个部分要修改、要注意的地方，然后是说明一下以“在修改文件对齐方 ......

代码如下. 代码属于转载. 并未使用 windows的结构体. PIMAGE_DOS_HEADER ....等解析. 适用于内核驱动. windows内核下可以使用此代码来获取文件资源版本. /* Distributed under the CC-wiki license. * user contr ......

PE4259 UltraCMOS@射频开关是专为涵盖10兆赫-3000兆赫的广泛应用。这款反射式开关集成了具有低电压的板上CMOS控制逻辑CMOS兼容的控制接口，并可将使用单引脚或互补引脚控制控制的输入端。 ATR5179是一款采用pHEMT GaAs工艺制作的单刀双掷开关单芯片，芯片内部电路结构简 ......

这是一篇原发布于2020-07-20 13:15:00得益小站的文章，备份在此处。 前言 作为朋友圈里的（伪）搞机大佬，会利用PE装机绝对可以把小白唬住；生活在信息时代的我们，我们却不一定时常带着U盘，但手机绝对不可能落下，如果可以仅靠手机制作一个PE，岂不是妙哉！ 本文就将介绍利用 DriveDr ......

PE（Portable Executable）注入是一种常见的代码注入技术，主要用于在目标进程中执行恶意代码。以下是PE注入的基本流程：1. 获取当前PE映像的基地址：使用GetModuleHandle(NULL)函数获取当前PE映像（即要注入的代码）的基地址。2. 复制PE映像：使用Virtual ......

在可执行文件PE文件结构中，通常我们需要用到地址转换相关知识，PE文件针对地址的规范有三种，其中就包括了`VA`，`RVA`，`FOA`三种，这三种该地址之间的灵活转换也是非常有用的，本节将介绍这些地址范围如何通过编程的方式实现转换。VA（Virtual Address，虚拟地址）：它是在进程的虚拟... ......

本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell植入技术。该技术能够劫持原始PE文件的入口地址，在PE程序运行之前执行ShellCode反弹，执行后挂入后台并继续运行原始程序，实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。字节注... ......

代码加密功能的实现原理，首先通过创建一个新的`.hack`区段，并对该区段进行初始化，接着我们向此区段内写入一段具有动态解密功能的`ShellCode`汇编指令集，并将程序入口地址修正为`ShellCode`地址位置处，当解密功能被运行后则可释放加密的`.text`节，此时再通过一个`JMP`指令跳... ......

Relocation（重定位）是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中，由于程序中使用了各种全局变量和函数，这些变量和函数的地址还没有确定，因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时，这些相对地址需要被修正为实际的绝对地址，这个过程就是重定位... ......

在可执行PE文件中，节（section）是文件的组成部分之一，用于存储特定类型的数据。每个节都具有特定的作用和属性，通常来说一个正常的程序在被编译器创建后会生成一些固定的节，通过将数据组织在不同的节中，可执行文件可以更好地管理和区分不同类型的数据，并为运行时提供必要的信息和功能。节的作用是对可执行文... ......

##记录文件结构试验 前言：使用的模拟程序是notepad.exe，主要记录其中的思路和遇到其中的困难。 实验目的：模拟内存加载PE文件的过程，将每个区段模拟加载到内存之中。 根据文件结构中头表中的信息，读取并sekk指针到Segment头。然后循环遍历Segment头将内容加载到Virtual A ......

脱壳修复是指在进行加壳保护后的二进制程序脱壳操作后，由于加壳操作的不同，有些程序的导入表可能会受到影响，导致脱壳后程序无法正常运行。因此，需要进行修复操作，将脱壳前的导入表覆盖到脱壳后的程序中，以使程序恢复正常运行。一般情况下，导入表被分为IAT（Import Address Table，导入地址表... ......

在Windows PE中，资源是指可执行文件中存放的一些固定不变的数据集合，例如图标、对话框、字符串、位图、版本信息等。PE文件中每个资源都会被分配对应的唯一资源ID，以便在运行时能够方便地查找和调用它们。PE文件中的资源都被组织成一个树形结构，其中最顶层为根节点（Root），下一级为资源类型（Ty... ......

重定位表（Relocation Table）是Windows PE可执行文件中的一部分，主要记录了与地址相关的信息，它在程序加载和运行时被用来修改程序代码中的地址的值，因为程序在不同的内存地址中加载时，程序中使用到的地址也会受到影响，因此需要重定位表这个数据结构来完成这些地址值的修正。当程序需要被加... ......