OpenArk - 開源軟件
Website: https://openark.blackint3.com/
Source: https://github.com/BlackINT3/OpenArk/
Manuals: https://openark.blackint3.com/manuals
技術(shù)QQ群:836208099
查看PE文件結(jié)構(gòu)
介紹
PE文件是Windows下的可執(zhí)行程序,與之對(duì)應(yīng)的是Linux下的ELF,macOS下的Mac-O,都是遵從COFF結(jié)構(gòu)標(biāo)準(zhǔn)激才,兩個(gè)基本要素是:頭Header + 區(qū)段(Section)焊夸,頭是屬于Meta數(shù)據(jù)钟哥,區(qū)段是具體內(nèi)容辕狰。
PE文件結(jié)構(gòu)大致如下圖所示:
1.png
使用方法
- 可從進(jìn)程列表或模塊列表勋眯,右鍵Sendto Scanner
- 可在Scanner標(biāo)簽頁上浪箭,直接打開PE
- 直接拖動(dòng)PE文件到窗口中(內(nèi)置管理員模式)
2.png
查看基本信息
這里可看到PE文件的大小穗椅、版本、描述奶栖、編譯時(shí)間匹表、PDB、編譯器等信息宣鄙。
3.png
查看DOS頭
4.png
查看PE頭
5.png
查看區(qū)段表
6.png
查看導(dǎo)入表
7.png
查看導(dǎo)出表
8.png
查看重定位表
9.png
查看調(diào)試目錄
SymbolID和windbg的下載符號(hào)路徑是一致的袍镀。
10.png
其他信息(資源/延遲綁定等等)
[TODO] OpenArk查看功能后續(xù)會(huì)更新。
查看RVA
RVA = 偏移地址VA - 基址ImageBase冻晤, R即是Relative(相對(duì))苇羡。
這里的Rebase常在使用IDA和Windbg時(shí),ASLR導(dǎo)致的基址重定位鼻弧,用于臨時(shí)轉(zhuǎn)換设江。
11.png
