二进制利用基本原理,Lord PE的使用,凡是资源性的物质且可表达的皆可利用。
PE (Portable Exec utable) 是 Win32 平台下可执行文件遵守的数据格式。常见的可执行文件(如“*.exe”文件和“*.dll”文件) 都是典型的 PE 文件。一个可执行文件不光包含了二进制的机器代码,还会自带许多其他信息,如字符串、菜单、图标、位图、字体等。PE 文件格式规定了所有的这些信息在可执行文件中如何组织。在程序被执行时,操作系统会按照 PE 文件格式的约定去相应的地方准确地定位各种类型的资源,并分别装入内存的不同区域。如果没有这种通用的文件格式约定,试想可执行文件装入内存将会变成一件多么困难的事情!
PE 文件格式把可执行文件分成若干个数据节 (section),不同的资源被存放在不同的节中。
一个典型的 PE 文件中包含的节如下。
.text 由编译器产生,存放着二进制的机器代码,也是我们反汇编和调试的对象。
.data 初始化的数据块,如宏定义、全局变量、静态变量等。
.idata 可执行文件所使用的动态链接库等外来函数与文件的信息
.rsrc 存放程序的资源,如图标、菜单等。
除此以外,还可能出现的节包括“.relo