RVA是相对虚拟地址(Relative Virtual Address)的缩写.RVA是当PE 文件被装载到内存中后,某个数据位置相对于文件头的偏移量. 例如:导入表的位置和大小可以从PE文件头中IMAGE_OPTIONAL_HEADER32结构的数据目录字段中获取,对应的项目是DataDirectory字段的第2个IMAGE_DATA_DIRECTORY结构.从IMAGE_DATA_DIRECTORY结构的VirtualAddress字段得到的是导入表的RVA值,如果在内存中查找导入表,那么将…

0 前言 此篇文章想写如何通过工具手查导出表.PE文件代码编程过程中的原理.文笔不是很好,内容也是查阅了很多的资料后整合出来的.希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献.因为了解PE文件格式知识点对于逆向破解还是病毒分析都是很重要的,且基于对PE文件格式的深入理解还可以延伸出更多非常有意思的攻防思维. 1 导出表查询工具 1 ) dumpbin VS自带的工具,有很多的功能.但用来查询程序的导出表也非常方便,使用例子如下: dumpbin.exe /EXPORTS D:\P…

#include <iostream> #include <fstream> #include <cassert> using namespace std; int main() { ifstream in("test_data.txt"); assert(in.is_open()); //基地址为文件结束处,偏移地址为0,于是指针定位在文件结束处 , ios::end); //sp为定位指针,因为它在文件结束处,所以也就是文件的大小 streamp…

+---------+---------+---------+---------+---------+---------+| 段名称 虚拟地址 虚拟大小 物理地址 物理大小 标志 |+---------+---------+---------+---------+---------+---------+| Name VOffset VSize ROffset RSize Flags |+---------+---------+---------+---------+---------+-----…

一.引言 说明几个I/O函数:open.read.write.lseek和close,这些函数都是不带缓冲(不带缓冲,只调用内核的一个系统调用),这些函数不输入ISO C,是POSIX的一部分: 多进程共享资源(包括文件)时,会有很多额外的烦恼,需要对共享资源.原子操作等概念深入理解,需要理解涉及的内核有关数据结构,这些数据结构对理解文件.共享有重要作用: 最后介绍dup.fcntl.sync.fsync和ioctl函数. 二.文件描述符 open或creat文件时,内核--文件描述符fd-->…

先说cp好mv/rm的区别: cp from to,则被覆盖文件 to的inode依旧不变(属性也不变),内容变为from的: mv from to,则to的inode变为from的,相应的,to的属性也成了from的:rm类似: 问题,假如程序 main.out依赖的so文件libtest.so被cp掉,会发生什么? strace cp test2 test  2>&1 | grep open.*test open("test2", O_RDONLY|O_LARGEFI…

今天需要解决一个问题,将影像瓦片(一堆jpg文件)分别进行读取,并将所有数据以文件流的方式存入一个.db的文件中, 同时将每个jpg数据在db文件中的位置保存下来,作为index存在.idx文件中. 其中部分代码如下(没有copy fopen和fclose的部分): char buf[256]; ; i < levels; i++) ; x < imageLevels[i][]; x++)//纵向 ; y < imageLevels[i][]; y++)//横向 { jpgpath =…

os模块的简介参看 Python::OS 模块 -- 简介 os模块的进程管理 Python::OS 模块 -- 进程管理 os模块的进程参数 Python::OS 模块 -- 进程参数 os模块中包含了一系列文件操作的函数,这里介绍的是一些在Linux平台上应用的文件操作函数.由于Linux是C写的,低层的libc库和系统调用的接口都是C API,而Python的os模块中包括了对这写接口的Python实现,通过Python的os模块,可以调用系统的功能,进行系统编程. 下面介绍一下os模块中…

http://blog.chinaunix.net/uid-25314474-id-343665.html 1.前言略. 2.yaffs 文件系统简介按理说这里应该出现一些诸如“yaffs 是一种适合于 NAND Flash 的文件系统 XXXXX”之类的字眼,不过考虑到网络上关于 yaffs/yaffs2 的介绍已经多如牛毛,所以同上,略.3.本文内容组织 本文将模仿<linux 内核源代码情景分析>一书,以情景分析的方式对 yaffs2 文件系统的源代码进行分析.首先将分析几组底层函数,如…

原文链接地址:http://www.cnblogs.com/shadow-lei/p/3554670.html PE文件定义 PE 文件("Portable executable", 可移植的可执行文件)文件格式,是微软Windows NT, 中Win32.Win32s中的可执行的二进制的文件格式. 包括:.exe, .dll, .sys, .com, .ocs. PE文件最重要的两个因素: 1.磁盘上的可执行文件和它被映射到windows内存之后的格式非常相像. 2.对于Win32…