云都小生

分析环境reactos0.3.1 ，i386体系]了解了windows的体系结构才知道reactos到底要干什么，以及如何干，因为reactos的目标是兼容windows。下面是windows的体系结构：这是整个windows的体系结构的总览。从图上可以看出系统被分成内核模式和用户模式。内核模式的构成文件是系统的核心文件她包含：hal.dllntos

PE文件到内存的映射，说白了就是将磁盘上的文件放到内存中，但事实上并不是这样。在执行一个PE文件的时候，Windows并不是一开始就将整个文件映射到内存，而是采用与内存映射文件类似的机制。Windows装载器在装载的时候建立好虚拟地址和PE文件之间的映射关系。真正执行某个内存页中的指令或者访问某一页中的数据时，这个页面才会被从磁盘提交到物理内存。      Windows装载器在装载DOS部分

IMAGE_OPTIONAL_HEADER32 叫可选映象头结构，定义在IMAGE_FILE_HEADER结构里面的第三个字段。虽然名字上说是可选的，但是它要与IMAGE_OPTONAL_HEADER结合起来，才是一个完整的“PE文件结构”。    typedef struct _IMAGE_OPTIONAL_HEADER     {        //        

MS-DOS头部：    每一个PE文件是以一个DOS程序开始的，有了它一旦程序在DOS下运行，DOS才能识别出这是有效的执行体。    PE文件的第一个字节起始于一个传统的MS-DOS头部，称为IMAGE-DOS-HEADER，这实际上就是一个结构体。    typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header 

从某种意义上讲，可执行文件的格式是操作系统本身执行机制的反映。掌握可执行文件的数据结构及其一些运行机理，也是研究软件安全的必修课。    EXE文件和DLL文件之间区别完全是语义的，因为它们使用相同的PE结构，唯一的区别就是一个字段，标识出是EXE还是DLL。    PE格式定义的主要地方位于我们的文件winnnt.h，这个头文件几乎能找到关于PE文件的所有定义。    PE文件中的数

已发表至CSDN博客。    通常区块中的数据逻辑上是关联的。PE文件一般至少有两个区块：一个是代码块，另一个是数据块。每一个区块都有截然不同的名字，然而这个名字并没有多少卵用，只是标明这个区块主要的用途。例如有一个区块叫.rdata，表明它是一个只读区块。还有其他的一些区块，例如.text一般都是存代码的，.reloc存放可执行文件的基址重定位内容·····    我们可以创建和命名自己

捷径并不是把弯路改直了，而是帮你把岔道堵上！走得弯路跟成长的速度是成正比的！不要害怕走上弯路，弯路会让你懂得更多，最终还是会在终点交汇！岔路会将你引入万劫不复的深渊，并越走越深……在开始讲解输入表（导入表）概念之前，请允许小甲鱼童鞋用简短的几句话来总结之前我们学过的内容，并做进一步的思想综合提升，注意咯！首先，我们知道PE 文件中的数据被载入内存后根据不同页面属

前几节，我们已经掌握了DOS头、NT头的内容，我们通过NT头IMAGE_OPTIONAL_HEADER结构的第30字段了解该可执行文件的数据目录表的项目，也了解了该结构的相关字段。接下来我们主要是了解区块表与区块。    区块表紧跟着NT结构，它是一个IMAGE_SECTION_HEADER结构数组。每个结构包含它所关联区块的信息。    typedef struct _IMAGE_SEC

教程：鱼C解密系列    教材：《加密与解密》    多字节数据存放顺序与CPU有关，微处理器的存储顺序有正序和逆序（即大端存储和小端存储）。    常见的Intel系列使用的编码方式为逆序，某些RISC架构的CPU（例如IBM的Power-PC）属于正序。    例如将12345678H写入以1000H开始的内存中：    Little-Endian是逆序，而Bi