問題タブ [portable-executable]

独自の PE 分析ツールの開発中に、一部の exe およびライブラリ (Adobe Reader など) がデバッグ PDB ファイルを参照していることに気付きました。PDB ファイルをまったく参照しないものもあります。ビルド マシン上のディレクトリを示すフル パスを含むもの、相対パスを含むもの、PDB ファイル名のみを含むものがあります。最善の解決策は何ですか？PDB はまったくなく、相対パスへの参照のみ、フル パスへの参照ですか?

AFAIK.dllはPE形式ですが、どう.libですか？

Visual Studio2010でC++コンパイラ（Win32がターゲット）を使用して単純なHello Worldアプリケーションをコンパイルし、Immunityデバッガーで実行したときに顕微鏡で製品がどのように表示されるかを確認しました。ただし、私が気付いたのは、メイン関数に到達する前に実行されるコード（実際にはかなりのコード）があることです。このようなものの多くは、セキュリティに関連しているように見えたり、プロセスを管理するためにシステムを準備しているように見えますが、そこにはほんの1トンしかありません。さらに、PEファイルヘッダーのEntryPoint部分は、私の.textセグメントの内部を指しているように見えますが、私のmain（）関数は.textセグメントの最初にあるように見えます。私の質問はこれです：私のコードの前に叩きつけられているこのプレリュードに関するいくつかの良いドキュメントがありますか、および/またはVC ++コンパイラによって.textセグメントの最初に通常配置されるmain（）関数ですか？あなたが持っている洞察に感謝します！

ここでインポートテーブルを修復するツールを見つけましたが、c / c ++で最初にインポートテーブルなしでPEを実行するにはどうすればよいですか？

私の場合、構成パラメーターを永続化するコンテナーを見つけようとしています。これは、レジストリー、構成ファイル (.ini または独自仕様) などです。

実行可能ファイルから画像/文字列などのリソースを抽出できるリソースグラバリングツールをいくつか試しましたが、それらを1つずつ調べた後、configuration fileそこにないことがわかりました。

誰にもこれに対する推奨事項はありますか？

最初のexeで、ラベルとしていくつかの特別なバイトを含むcharの配列を定義しました。別のexeからメモリにマッピングし、必要なラベルを見つけて新しいデータを挿入しましたが、このデータは定義された配列よりも短い可能性があるため、カットしたいと思いますこの配列を必要なサイズに！どうすればいいですか？

Portable Executableファイルのセクションには、異なるフラグが付けられています。IMAGE_SCN_MEM_EXECUTE（セクションはコードとして実行可能）とIMAGE_SCN_CNT_CODE（セクションには実行可能コードが含まれています）の違いを誰かが説明できますか？ありがとう。

プロセスイメージをディスクにダンプして実行したい

• プロセスモジュールをリストしました
• readprocessmemory を使用して、exe のメモリ範囲を読み取りました

しかし、実行しようとすると失敗します。どうすればこれを解決できますか?

ありがとう

コンパイルされたプログラムを実行するためのサンドボックス仮想マシンを作成したいと思います。私の目標は、そのプログラムを他のオペレーティングシステムから分離し、その実行を制御して、ホストコンピューターに有害なことを何もできないようにすることです。

私はそれを仮定します：

• 実行されたプログラムはPortableExecutable形式にコンパイルされ、マシンコードであり、バイトコードやCLR用ではありません。
• 実行されたプログラムは、プリンター、スキャナーなどの周辺機器との通信を許可されておらず、GUIを使用していません。
• 実行されたプログラムの主なタスクは、ローカルファイルに保存されているデータ（計算など）を処理し、その結果を別のローカルファイルに入れることです。
• 実行されたプログラムはオペレーティングシステムと直接通信できないようにする必要があります。すべての要求は仮想マシンで処理する必要があり、オペレーティングシステムに損傷を与える可能性のある要求はすべてブロックする必要があります。

サンドボックス仮想マシンのアーキテクチャと操作の私の概念：

• アプリケーションは、プロセッサ、メモリ、ファイルのI / O操作、
• コンパイルされたファイルを読み取り、実行可能コードを仮想メモリにロードするモジュールがあります。
• 次に、仮想プロセッサは最初のバイトから処理を開始し、オペコード、引数を読み取り、必要に応じてメモリからロードし、コマンドを実行して結果を適切な場所に配置し、必要に応じて仮想フラグを設定し、プログラムが実行されるまで次のコマンドを読み取ります最後まで。

あなたはどう思いますか：それは良いコンセプトですか？それを改善するために何を変えますか？

私は最近、新しい母国語の作成を検討しています。私は PE 形式の (非常に) 基本を理解しており、Web からかなり親切なインターフェイスを備えたアセンブラーを入手しました。これを使用していくつかの単純な関数を実装することに成功しました。しかし、ライブラリの関数を使用すると問題が発生しました。以前に動的にコンパイルされた関数からライブラリ関数を呼び出す唯一の方法は、関数ポインターを手動で渡すことでした。これは、PE ファイルを作成して独自のプロセスで実行する場合にはできません。現在、CRT を使用する予定はありませんが、独自の標準ライブラリを実装するには、Win API にアクセスする必要があります。PE ローダーがパッチを適用できるように、WinAPI 関数への参照を生成するにはどうすればよいですか?