darthas的专栏

文件头 3Ch偏移处：PE文件头的地址PE文件头28h偏移处：入口点的RVA2Ch：代码段RVA30h处：data段RVA34h处：默认装入地址38h,3Ch：内存中alignment（一般为1000h，一页），文件中alignment（一般为200h）50h：image尺寸78h：数据目录表开始目录表结构： 8bytes，DWORD 保存起始RVA，DWORD保存

1. stos，stosb，stosw  将eax，al，ax中的值

1. 用FILE_FLAG_OVERLAPPED打开设备时，ReadFile、WriteFile的OVERLAP参数不能为空，否则会异常，到不了驱动的派遣函数2. 用IoGetDeviceObjectPointer得到FILE_OBJECT和DEVICE_OBJECT指针，用完后Deref文件对象就行了，设备对象千万别Deref，否则会损坏设备对象。他内部是ZwOpenFile再ObRefre