在笔者上一篇文章《驱动开发：内核解析PE结构导出表》介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中LyShark封装实现了KernelMapFile()内存映射函数，在之后的章节中这个函数会被多次用到，为了减少代码冗余，后期文章只列出重要部分，读者可以自行去前面的文章中寻找特定的片段。WindowsNT系统中可执行文件使用微软设计的新的文件格式，也就是至今还在使用的PE格式，PE文件的基本结构如下图所示：在PE文件中,代码,已初始化的数据,资源和重定位信息等数据被按照属性分类放到不同的Secti

在可执行文件PE文件结构中，通常我们需要用到地址转换相关知识，PE文件针对地址的规范有三种，其中就包括了VA，RVA，FOA三种，这三种该地址之间的灵活转换也是非常有用的，本节将介绍这些地址范围如何通过编程的方式实现转换。如下是三种格式的异同点：VA（VirtualAddress，虚拟地址）：它是在进程的虚拟地址空间中的地址，用于在运行时访问内存中的数据和代码。VA是相对于进程基址的偏移量。在不同的进程中，相同的VA可能映射到不同的物理地址。RVA（RelativeVirtualAddress，相对虚拟地址）：它是相对于模块基址（ModuleBaseAddress）的偏移量，用于定位模块内部的

本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell注入技术。该技术能够劫持原始PE文件的入口地址，在PE程序运行之前执行ShellCode反弹，执行后挂入后台并继续运行原始程序，实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。字节注入功能调用WritePEShellCode函数，该函数的主要作用是接受用户传入的一个文件位置，并可以将一段通过Metasploit工具生成的有效载荷注入到特定文件偏移位置处。读者在使用该函数之前需要通过WinHex找到注入位置，我们以如下截图中的30352为例；接着读者需要自行准备一段ShellCo

Relocation（重定位）是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中，由于程序中使用了各种全局变量和函数，这些变量和函数的地址还没有确定，因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时，这些相对地址需要被修正为实际的绝对地址，这个过程就是重定位。在Windows操作系统中，程序被加载到内存中运行时，需要将程序中的各种内存地址进行重定位，以使程序能够正确地运行。Windows系统使用PE（PortableExecutable）文件格式来存储可执行程序，其中包括重定位信息。当程序被加载到内存中时，系统会解析这些重定位信息，并将程序中的各种内存

脱壳修复是指在进行加壳保护后的二进制程序脱壳操作后，由于加壳操作的不同，有些程序的导入表可能会受到影响，导致脱壳后程序无法正常运行。因此，需要进行修复操作，将脱壳前的导入表覆盖到脱壳后的程序中，以使程序恢复正常运行。一般情况下，导入表被分为IAT（ImportAddressTable，导入地址表）和INT（ImportNameTable，导入名称表）两个部分，其中IAT存储着导入函数的地址，而INT存储着导入函数的名称。在脱壳修复中，一般是通过将脱壳前和脱壳后的输入表进行对比，找出IAT和INT表中不一致的地方，然后将脱壳前的输入表覆盖到脱壳后的程序中，以完成修复操作。数据目录表的第二个成员指

重定位表（RelocationTable）是WindowsPE可执行文件中的一部分，主要记录了与地址相关的信息，它在程序加载和运行时被用来修改程序代码中的地址的值，因为程序在不同的内存地址中加载时，程序中使用到的地址也会受到影响，因此需要重定位表这个数据结构来完成这些地址值的修正。当程序需要被加载到不同的内存地址时，相关的地址值需要进行修正，否则程序运行会出现异常。而重定位表就是记录了在程序加载时需要修正的地址值的相关信息，包括修正地址的位置、需要修正的字节数、需要修正的地址的类型等。重定位表中的每个记录都称为一项（entry），每个entry包含了需要修正的地址值的详细信息，通常是以可变长度

节表（SectionTable）是WindowsPE/COFF格式的可执行文件中一个非常重要的数据结构，它记录了各个代码段、数据段、资源段、重定向表等在文件中的位置和大小信息，是操作系统加载文件时根据节表来进行各个段的映射和初始化的重要依据。节表中的每个记录则被称为IMAGE_SECTION_HEADER，它记录了一个段的各种属性信息和在文件中的位置和大小等信息，一个文件可以由多个IMAGE_SECTION_HEADER构成。在执行PE文件的时候，Windows并不在一开始就将整个文件读入内存，PE装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系，只有真正执行到某个内存页中的指令或

PE结构是Windows系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，DOS头是PE文件开头的一个固定长度的结构体，这个结构体的大小为64字节（0x40）。DOS头包含了很多有用的信息，该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头IMAGE_DOS_HEADER的e_lfanew字段向下偏移003CH的位置，就是真正的PE文件头的位置，该文件头是由IMAGE_NT_HEADERS结构定义的，IMAGE_NT_HEADERS是PE文件格式的一部分，它包含了PE头和可选头的信息，用

目录电脑重装系统前言重装系统有什么好处1、制作PE系统盘1.1进入微PE工具箱官网，下载微PE工具箱软件1.2准备一个8GB以上的U盘，用来制作PE系统盘 1.3下载Windows镜像文件2、设置U盘启动顺序第一种是利用某些电脑现成的启动项按键来选择U盘启动。第二种是进入BIOS后设置U盘为第一启动项。 3、进入PE系统，进行安装Windows操作1、选择分区工具2、选择电脑的磁盘，注意不要选择成自己的U盘3、选择快速分区（格式化磁盘），可以只选择系统磁盘（C盘）4、注意安装Windows10选择GUID模式，安装Windows7选择MBR模式5、选择自定义分区，建议C盘大小设置为80~120

我需要从一些文本文件中挑选一些数字。我可以用grep找出我需要的行，但不知道如何从行中提取数字。一位同事向我展示了如何使用perl从bash执行此操作:catresults.txt|perl-pe's/.+(\d\.\d+)\.\n/\1/'但是，我通常使用Python编写代码，而不是Perl。所以我的问题是，我可以用同样的方式使用Python吗？即，我是否可以将某些内容从bash通过管道传输到Python，然后将结果直接发送到stdout？......如果这是有道理的。还是Perl在这种情况下更方便？ 最佳答案 是的，您可以从命令