本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还是需要用到《驱动开发：内核解析PE结构导出表》中所封装的KernelMapFile()映射函数，在映射后对其PE格式进行相应的解析，并实现转换函数。首先先来演示一下内存VA地址与FOA地址互相转换的方式，通过使用WinHEX打开一个二进制文件，打开后我们只需要关注如下蓝色注释为映像建议装入基址，黄色注释为映像装入后的RVA偏移。通过上方的截图结合PE文件结构图我们可得知0000158B为映像装入内

一、背景一直以来，我都是使用微软官方的PE系统来安装操作系统，但是官方的PE系统只有黑乎乎的命令行，每次安装系统都需要使用notepad查看一下镜像所在的盘的盘符，挺麻烦的，于是，我就想到给PE加上一个explorer，从而方便查看资源。为什么我不使用别人做好的PE？首先，网络的上的别人制作的PE，无法保证安全性，即使制作的人可以保证不加入任何第三方的文件，但是他使用的制作工具可能也会写入一些文件（毕竟有些人用破解版工具）。安全性，这是不使用别人的制作好的PE的重要原因，毕竟这是用于日常生产中的基础工具，系统的安装和维护都依靠他，要是它有问题，那整个公司的系统都会有问题了。这也是我一直使用微软

在笔者的上一篇文章《驱动开发：内核特征码扫描PE代码段》中LyShark带大家通过封装好的LySharkToolsUtilKernelBase函数实现了动态获取内核模块基址，并通过ntimage.h头文件中提供的系列函数解析了指定内核模块的PE节表参数，本章将继续延申这个话题，实现对PE文件导出表的解析任务，导出表无法动态获取，解析导出表则必须读入内核模块到内存才可继续解析，所以我们需要分两步走，首先读入内核磁盘文件到内存，然后再通过ntimage.h中的系列函数解析即可。当PE文件执行时Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入，再根据DLL文件中函数的导出信息对

 苹果近期发布了macOSBigSur11.7.6和macOSMonterey12.6.5更新，本次更新重点修复了标记为CVE-2023-28206的漏洞，在macOS13.3.1更新中已修复，推荐大家安装升级。 镜像下载：macOSMonterey12.6.5(21G531)三分区原版黑苹果镜像或文末置顶评论前往官网下载NO.1 更新日志    本次更新重点修复了标记为CVE-2023-28206的漏洞，苹果在上周发布的macOS13.3.1更新中已修复。本次更新并未引入其它增强功能，和iOS/iPadOS15.7.5更新一样，主要修复了以下两个安全漏洞。目前已经有证据表明，黑客利用以下两个

PE文件感染程序设计本文主要是记录一次PE病毒设计入门实验，查看了很多帖子，总也找不到系统的指导。也是出于记录一次具体的实验流程，给后来摸索的但是没有思路的朋友们一点点思路。1.设计思路遍历当前目录，将所有的可执行文件列出来对这些可执行文件逐个判断是否被感染过，如果感染过，则跳过该文件如果未感染，则进行感染，然后循环到2，直到遍历结束要想感染一个Windows下的可执行文件，首先得搞懂PE文件的格式。2.PE文件结构PE即PortableExecutable，是win32环境自身所带的执行体文件格式，其部分特性继承自Unix的COFF（CommonObjectFileFormat）文件格式。P

使用PE安装WIn系统教程简单说一下U盘安装的教程。U盘使用winnt安装可跳过一些限制。教程适用于其他原版系统安装。准备U盘，系统镜像，微PE（很纯净推荐使用，自带工具很全面）。下载一个PE，安装到U盘，选择从U盘启动（详百度）。有的老机器需要旧版本的PE。进入PE后，若未分区，建议使用GPT分区。新建ESP与MSR两个分区，或使用快速分区。也可使用MBR分区。在MBR模式时（Lagecy），引导文件和系统文件，可以分别放在两个不同的分区中，也可以放在同一分区。对于GPT模式(UEFI)，引导文件在ESP分区中，MBR为保留分区，系统分区是C盘。找到安装镜像，双击或挂载镜像。找到instal

前言接上篇。进行病毒分析时，在进行具体的病毒行为分析前，需要或许可疑文件的基本信息，此时可以使用pe工具进行分析和获取基本静态信息获取一般需要获取的信息包括但不限于：程序哈希值导入函数表导出函数表是否有壳程序的位数字符串具体步骤使用exeinfope获取相关信息讲文件拖入到exeinfope.exe中，可获取该文件的PE信息，示例如下：如图中标记，可以知道:该程序是个32的可执行程序通过节区信息可以判断是否加壳，该程序没加壳，现实的是正常的.text节区如下图：可以看到加了upx壳点击图中的PE,可以进一步获取导入表等相关信息![](https://img-blog.csdnimg.cn/im

前言接上篇。进行病毒分析时，在进行具体的病毒行为分析前，需要或许可疑文件的基本信息，此时可以使用pe工具进行分析和获取基本静态信息获取一般需要获取的信息包括但不限于：程序哈希值导入函数表导出函数表是否有壳程序的位数字符串具体步骤使用exeinfope获取相关信息讲文件拖入到exeinfope.exe中，可获取该文件的PE信息，示例如下：如图中标记，可以知道:该程序是个32的可执行程序通过节区信息可以判断是否加壳，该程序没加壳，现实的是正常的.text节区如下图：可以看到加了upx壳点击图中的PE,可以进一步获取导入表等相关信息![](https://img-blog.csdnimg.cn/im

1.准备一块U盘2.安装ventory2.1下载ventoryDownload.Ventoy由于官方服务器带宽比较低,官方也提供了红框的下载链接,直接进去下载即可 2.2安装ventory解压文件,打开Ventory2Disk.exe可以看出默认识别出了你的U盘,点击安装即可,磁盘即出现卷标为Ventory的磁盘  找到卷标为Ventory的磁盘,格式化,选择NTFS分区  打开磁盘管理可以发现U盘的卷标默认变成了Ventory,并且多了个EFI系统分区3.把下载好的iso镜像复制进去大家可以根据自己需要下载镜像windowsMSDN,我告诉你-做一个安静的工具站(itellyou.cn)ub

我需要一个命令行工具，它支持从PE可执行文件的资源中检索版本信息，并用新版本修补二进制文件。我需要做的是自动增加P​​E二进制文件的版本。有什么想法吗？ 最佳答案 资源工具库[1,2]与COM接口(interface)。您可以从VBScript/JScript使用它，并像我已经做的那样自动修补版本信息。导入/浏览DLL类型库以查看COM接口(interface)语法，下面是VersionInfo修补自动化的代码片段。WshShell=WScript.CreateObject("WScript.Shell");WScript.Echo