// PETools.cpp : Defines the entry point for the console application.// #include "stdafx.h"#include <windows.h>#include <malloc.h> DWORD len=0; //记录文件读取时的大小 作为还原内存镜像缓冲区时的长度 //==========================================================…

源码来自各大网友并非原创修改了部分函数 仅供参考(PE没源码参考应该是很吃力的) 暂未更新完持续更新中....... PETools.h //函数头 int GetFileLength(FILE *pf, DWORD *Length); int ReadFileByPathToBuffer(IN LPSTR FilePath, OUT LPVOID* pFileAddress); int PrintPEFileHeader(void* pFileAddress); int PrintPESect…

起初的想法: intel 600p虽然速度一般,但pcie还是值得一试的.购买后发现原来的win7版本无法识别就找了KB2990941和KB3087873两个补丁,成功识别出了硬盘.期间通过dezoris的文章发现WGC5Y_2FR1DA00_W7SP1PRO64_ENG.iso这个iso自带识别此款nvme的驱动,而且是DELL官方的OEM激活版本,只是英文版,就想着怎样将其转为中文版. 转换方法: 虽然安装了UltraISO,但dezoris推荐的rufus工具非常好用,先将下载好的镜像写入…

Windows 7/2008 的AIK 3.0下载页面:地址链接 1.8G [3.1补充包为1.4G] 安装3.0后,升级为3.1方法: xcopy E:\ "C:\Program Files\Windows AIK\Tools\PETools" /ERDY 安装AIK 3.0后,在开始菜单里 以管理员身份 运行 “部署工具命令提示符”.在命令提示符下,输入以下命令. rem 自动创建d:\winpe30文件夹 copype.cmd <x86|x64> d:\winpe30…

DIY_hlstudio_WIN7PE[69M]网络版[89M] hlstudio的骨头版PE非常精简,由于启动方式和用法不同,个人进行了如下修改:1.原来的合盘修改为bootmgr直接起动ISO镜像.2.修改BCD菜单,修改强制开启主板PAE功能为缺省,从网虫2008PE中提取\Windows\System32\ntoskrnl.exe,恢复到BOOT.WIM中,确保不支持PAE的主板顺利启动WIN7PE.3.把MMC组件(含内置格式化功能)恢复到\Windows\System32\,右击我的…

通用 PE 工具箱1.9.6(XP内核)by Uepon(李培聪)官网:http://hi.baidu.com/uepon?page=21.8版论坛帖子:http://bbs.wuyou.net/forum.php?mod=viewthread&tid=119749通用PE1.9.6介绍:http://hi.baidu.com/uepon/item/ceafeb322ba148b9633affd3通用PE V1.9.6(XP内核)原版下载地址:http://pan.baidu.com/s/1o6…

WinPE3.1     —Win7 x86 PE V3.1: waik_supplement_zh-cn.isoDVD: cn_windows_7_professional_with_sp1_x86_dvd_u_677162.iso 一．Builds ISO 1. 設立フォルダー Name: win7pe_1 2. Win7 インストール ディスクからブートを抽出します(.bif) 使用UltraISO. (1) File->Open... cn_windows_7_professional_…

PE文件格式 一.基本结构 1.DOS头一般到节区头成为PE头部分,其下称为PE体.文件的内容一般可分为代码(.text).数据(.data).资源(.rsrc),分别保存. 2.PE头与各节区的尾部存在一个区域,称为NULL填充,为了提高效率,计算机使用"最小基本单位"这一概念,文件/内存中节区的起始位置应该在各文件/内存最小单位的整数倍上. 3.RVA+ImageBase=VA 4.当DLL加载到进程虚拟内存指定位置时,可能该位置已经被占用,则需要使用重定位方式加载到其他空白的地方…

现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措. 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了. 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使用另外一个工具PE TOOLS来进行dump. PE TOOLS的界面是这样的,我们用PE-TOOLS定位到CRAC…

最近想要更新公司的网Ghost系统,所以小研究一下win pe ,在网上看见一个很不错的教程,在这里分享给大家! 并非原创,纯属转载!!O(∩_∩)O~天缘的作品,很是佩服这个哥们啊..... 一.WINPE制作准备1.操作系统必须是Windows 2003/2008/2008 R2/Vista/Windows 7中的一种,其中Windows 2003和Windows 2008必须至少打上SP1,另外如果要跨体系部署,则仅支持32位WINPE对x64(AMD64)的Windows版本进行跨体系部…

文章中用到的demo下载地址: http://download.csdn.net/detail/ccnyou/4540254 附件中包含demo以及文章word原稿 用到工具: Ollydbg LordPE ImportREC 这些工具请自行下载准备 Dump原理这里也不多做描述,想要了解google it!常见的dump软件有LordPE,ProcDump,PETools等本文以LordPE为例 首先,打开 LordPE,由于此时机器上只有一个汉化版,也懒得花时间去找原版了.我们打开选项,设置…

一.什么是Web漏洞扫描工具 即是指“扫描Web应用以查找安全漏洞(如跨站脚本,SQL注入,命令执行,目录遍历和不安全服务器配置)的自动化工具”,其中许多可能是由不安全或不正确的编码和设计.另一方面,通用(网络或系统)扫描器可以识别开放端口,主动IP地址和登录,主机操作系统和软件类型,修订版本和修补程序级别以及运行的服务. 二.漏洞扫描主要策略 1.主机漏洞扫描:通常在目标系统上安装了一个代理或是服务以便能够访问所有的文件与进程,以此来扫描计算机中的漏洞. 2.网络漏洞扫描:通过网络来扫描远程计…

① PE (Portable Executable):微软参考COFF(Common Object File Format)规范,在Windows NT系统上制定的一种标准, 用于exe可执行文件.obj目标文件和dll动态链接库等文件格式.PE32+是PE的64位扩展,其并未添加额外结构,只是把原来32位的字段变成了64位. 与COFF一样,PE也是基于段(Segment,注:有时也被叫节Section)的结构, 按照不同属性将信息分段存放,常见的段有:代码段(.text).数据段(.data…

菜鸟脱壳之脱壳的基础知识(二)——DUMP的原理当外壳的执行完毕后,会跳到原来的程序的入口点,即Entry Point,也可以称作OEP!当一般加密强度不是很大的壳,会在壳的末尾有一个大的跨段,跳向OEP,类似一个壳与程序入口点的“分界线!当我们到达了程序的OEP,我们就需要进行DUMP程序了,那么什么时候去DUMP一个程序呢?这里我引用了fly的一句话!“手动脱壳理想的最佳dump时机是指壳已经把程序代码包括资源等数据全部解密.输入表等数据还原但还未填充系统函数地址.DLL则还未重定位,此时d…

我们如果想对已有的程序做手脚,就要在原有的结构中添加自己的代码,这样当用户在打开这个做过手脚的程序时就会自动运行其中我们加进去的代码,至于这些代码能做什么,你懂得.这个实验的目的是在一个EXE可执行文件中手动修改其中的一些地方,使它在被运行时先运行一个MessageBox的提示框再运行程序的主页面.   写一个MessageBox显示的小程序.将其在OD中运行. 在编辑框中输入bp MessageBoxA,回车下断点,在断点查看对话框就能看到刚才下的断点. 找到MessageBox的函数地址,按…

每周至少做一个 leetcode 的算法题.阅读并点评至少一篇英文技术文章.学习至少一个技术技巧.分享一篇有观点和思考的技术文章.(也就是 Algorithm.Review.Tip.Share 简称ARTS) Algorithm 做一个 leetcode 的算法题 771. Jewels and Stones 1)problem https://leetcode.com/problems/jewels-and-stones/ ou're given strings J representing…

问题描述 最近用一台Windows Server 2012 R2系统的机器的时候碰到了这个问题. 因为在网上看了很多解决方案,都没有很好的解决.所以记录一下这个问题的解决. 之前使用VS2013编译出的程序,是没有这个问题的.这个问题仅仅出现在VS2015编译的程序上. 重新安装了一个 Windows server 2008 R2的虚拟机,然后安装了vc_redist.exe(VC2015x64版本),运行程序是没有问题的.这个winserver2008的系统镜像是下载的微软原版的,所以这里猜测…

转自:http://blog.sina.com.cn/s/blog_58c380370100cp5x.html 文件大小:39.5M(支持Win7安装,早期的通用PE工具箱,小巧不过几十兆,现在都臃肿到几百兆了) 运行环境:WinXP, Win2003, Win7, Win2000, Win9x 软件下载:WinPE启动U盘工具箱WinPEU.rar 原始软件:TonPE_V1.9.2.exe(小巧的通用PE工具箱软件,这是最早期的版本,不超过40M,小U盘.SD卡.mp3等,都能制作启动U盘)…

一直不懂逆向,最近刚好不忙,于是学习逆向,用来做笔记,顺便和大家分享交流. 参考书籍<IAD PRO权威指南> 工具: PETools: ETools 是另一款很好的PE文件编辑工具,以前曾发过 v1.5.400.2003 的汉化版,今天也来更新一下:).PEditor 功能有转存进程.检测可执行文件加壳类型.在SoftICE中插入中断.编辑PE文件的导入表.节表.重建校验和.重建程序等,其自带了一个签名管理程序可自己添加更多的壳类型来让 PETools 识别.PETools 可支持插件,并带…

Hacking Tools 种各样的黑客工具浩如天上繁星,这也让许多刚刚入门安全技术圈的童鞋感到眼花缭乱,本文整理了常用的安全技术工具,希望能够给你带来帮助.以下大部分工具可以在 GitHub 或 SourceForge 下载. 通用调试器 binwalk:二进制文件分析工具 OllyDbg:经典的反汇编工具 IDA pro:宇宙最强反汇编,支持源码级别的查看 x64dbg:基于Qt的开源现代化的动态调试器 Immunity Debugger:流行的用户模式调试器(依赖Python)配合 PyC…

我们以修改"我心如水 WIN7PE_16.99.1 维护版.ISO"为例,整个ISO的核心文件就是这个BOOT.WIM,我们先把他提取出来. 然后用在本教程第一章学到的东西,用AIK工具解压得到下面的东西. 然后我们进入Windows目录,打开PECMD.INI文件,进行修改.   //配置文件开始 //定义分辨率为104×768 32位色彩 DISP W1024 H768 B32 //此处修改背景壁纸,进入Windows目录修改背景壁纸,%CurDir%对应着Windows目录.图片…

更新说明:因未来的uefi似乎并不能识别并引导ud区,但能识别和引导量产和u+B+隐藏或高端隐藏区,故解决量产PE对u+B+隐藏区的支持,并增加对UEFI启动支持,已经成为PE制作的最主流技术. PE的最迷人之处,就是DIY.通过DIY,新人才能慢慢提高水平. 假期研究了一下U+和B+隐藏.穿发奇想,大部分量产版专用PE,并不支持U+和B+隐藏.就想让大家简单改造一下,让手中的量产专用PE,都能来玩U+和B+隐藏.这里指的量产PE,一般都为内核解开的:多引导一般为grub,其它引导请自行研究解决…

所谓U+,习惯上是指用UltraISO软件把ISO文件写入U盘来制作启动盘的一种技术.第一代U+兼容性不太好,不推荐使用.目前,兼容性比较好的是第二代U+启动技术(USB-HDD+ V2/USB-ZIP+ v2),通常简称为U+V2,最新版 U+ 2.0可以创建启动分区并支持“低端隐藏”.“高端隐藏”和“深度隐藏”启动分区.U+V2高端隐藏和深度隐藏启动分区解决了PE中低端隐藏时运行一键还原工具时隐藏的启动分区与可见区互换的问题,让U+技术达到了稳定实用的阶段. 特别是U+V2深度隐藏,U盘分区…

PE编辑工具 Stud_PE v. 2.6.0.5 Stud_PE v.2.6.1.0 (2.61汉化版)   PE工具,用来学习PE格式十分方便. LordPE DLX增强版(2008.5.31)   2008.5.31资源名溢出漏洞.缓冲区长度检测是char,但是拷贝的时候是wchar,所以溢出了.by somuchhttp://bbs.pediy.com/showthread.php?t=64935 2006.11.30更新freecat制作的功能插件LordPeFix.dll,修正Lor…

前言:有时候在网络上能找到很不错的PE(无忧启动论坛),但是有时候PE的功能仍不能满足自己的需要(软件过旧,缺少某些功能),这时候就显得自己DIYPE的重要性 需要的工具: WIMTOOL(必备) 软碟通(必备) 添加,替换,修改过程(以WEPE为例): 挂载需要修改的pe镜像 2.然后用wimtools解压\WEPE\WEPE64.WIM 至 F:\DIYPE\WEPE64 目录(自己在硬盘中建立的文件夹) 解压后得到如下内容 3.往Program Files目录添加,替换,修改自己所需的pe…

每一种操作系统它最重要的格式就是它的可执行文件格式, 因为操作系统就是为了支持这些文件而生成的,内核里面有很多机制,也是配合这种文件格式设计的. 换句话说,这种文件格式也是适合操作系统设计的. 比如: PE 它是 windows 下的文件格式,是 MZ 打头的(4D5A)只有两个字节,后面很大一片就是对这个结构体的管理, 比如:声音在什么位置,图像在什么位置,文字在什么位置,在前面这一片都是有记录的, 也就是说,前面开头不只是标志而已,前面这一片是一个结构体.   PE(Portable Exe…

一.图说WinPE启动U盘的制作 1.首先将U盘插入电脑的USB接口(重要提示:制作过程U盘会被格式化,注意备份资料): 2.解压下载的WinPEU.rar文件: 3.在WinPEU.rar解压目录打开UltraISO.exe程序: 4.在打开的UltraISO程序界面,双击打开WinPE.iso光盘映像文件: 5.然后在顶部菜单中选择“启动光盘”/“写入硬盘映像”: 6.在“硬盘驱动器”项目中,选择你要制作成启动盘的U盘(软件默认U盘): 7.在“写入方式”项目中选择“USB-HDD+”或“U…

yum install dhcp xinetd syslinux tftp-server httpd 编辑dhcpdb配置(192.168.0.1为本机IP) ; max-lease-time ; log-facility local7; subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.100 192.168.0.200; option routers 192.168.0.1; filename "pxelinux.0&quo…

请问大神.NET查壳工具都有哪些? 已知的有DotNet Id    除了这个还有别的吗?脱MAXTOCODE发现是双壳.脱掉第一层还有一层,DotNet Id检测没壳了,但是反编译还是加密状态. 用PEiD查壳,用OD脱壳 ScanID算不算? https://hintdesk.com/2007/11/09/net-id/  DotNet Id 再也不支持了 帮忙看看这个.net加密的是什么壳,查不出来 .NET Reactor混淆,用de4dot反混淆 .net软件用ScanId来查 一个用…

先随便说一下这个PE-tools有什么用? 我开发这款PE-tools是为了学习而开发的,且是开源的,这里我会提供源码链接.它可以解析windows 32/64位程序中比较常用的一些属性. 里面有个稍微比较好的功能就是可以dll注入,我不知道为 啥relase版不能注入,debug版却能.... 可以帮助学习PE结构的朋友有个很好的模板对照去学习.更深层次的去理解PE结构.这个PE-tools采用纯C语言写的,有不足的地方,轻喷. github下载链接: https://github.com/L…