PE文件
PE文件相关的知识
余大头
这个作者很懒,什么都没留下…
展开
-
64位PE
PE64(x64)注意事项64位PE文件被称为PE32+,PE+, PE64解析x64位PE时应该注意地址大小,PE64涉及到指针时应该都是64位PE64结构IMAGE_DOS_HANDLEPE64的DOS头与PE32没有区别typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp;原创 2021-03-20 08:43:38 · 921 阅读 · 0 评论 -
DLL
DLLDynamicLinkableLibrary,是实现共享函数库的一种方式通常来说,动态链接库文件里面也包含了程序运行所需要的代码和数据。也就是说动态链接库文件也是可执行文件,但是它不能单独运行,动态链接库是给其他可执行文件提供函数的。分类:导入库随着dll一起生成的就是导入库,里面不包含任何代码,只给链接器提供信息用于导出DLL中的函数优点:模块性,只需要调用,不需要关注实现更新方便,只需要替换dll文件节约内存,共用一份dll缺点:缺失dll,程序无法运行对象库(静态库)原创 2021-03-20 08:41:03 · 147 阅读 · 0 评论 -
解析数据目录表
解析数据目录表- 导出表void AnalyzeExportsTabel(char* lpImage){ //1 获取到导出表的结构 PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)lpImage; PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + lpImage); //1 获取到导出表的数据目录结构 PIMAGE_DATA_DIRECTORY原创 2021-03-20 08:28:31 · 289 阅读 · 0 评论 -
PE详解
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的结构一般来说如下图...转载 2020-12-24 08:45:53 · 1297 阅读 · 0 评论