VC&&C++
文章平均质量分 64
jasonnk
这个作者很懒,什么都没留下…
展开
-
PE文件全记录(前言)
研究了几天PE格式,对PE格式有了一定的了解。必定资料还是挺多的,可是也有很多地方不容易理解。在参考了一些资料,和自己编写程序进行了探索,算是对PE格式有了一定的初步了解。明天,开始写写关于PE的文章,自己的心得体会。附录: PE文件简单理解就是windows下我们常见的EXE可执行文件.PE是一种文件格式。PE的意思就是Portable Executable(原创 2007-02-05 23:42:00 · 783 阅读 · 0 评论 -
PE文件简介(一)-数据结构
PE文件主要涉及的数据结构:MS-DOS头占据PE文件的头64(0x40)个字节。反映它的内容的一个结构如下所述:WINNT.H typedef struct _IMAGE_DOS_HEADER { // DOS下的.EXE文件头 USHORT e_magic; // 魔数 USHORT e_cblp; // 文件最后一页的字节数原创 2007-02-08 23:28:00 · 877 阅读 · 0 评论 -
PE文件中RVA和Offset的转换
在个人操作PE文件中,时常会用到RVA到Offset的转换。没有更好的算法了,这里是最笨的方法,不过也只能这样了。主要思想是:判断一个RVA值在那个节中,然后用这个节的虚拟地址减去物理地址,得到偏移。然后用输入的RVA减去这个偏移就可以了,同理我们也可以使用相同的方法到物理偏移。函数实现:RVA2OffsetPIMAGE_SECTION_HEADER ImageRVA2Section(PI原创 2007-02-08 23:34:00 · 2090 阅读 · 0 评论 -
反汇编CALL地址
一个问题难倒了好几天。。。终于解决了。[code]反汇编by win32dsm+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++//********************** Start of Code in Object .text **************Program Entry Point = 00401014 (原创 2007-02-07 16:12:00 · 3815 阅读 · 0 评论 -
PE文件简介(一)-基本内容
此部分转载是PE文件的基本内容:所有 PE文件(甚至32位的 DLLs) 必须以一个简单的 DOS MZ header 开始。我们通常对此结构没有太大兴趣。有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随 MZ header 之后的 DOS stub。DOS stub实际上是个有效的 EXE,在不支持 PE文件格式的操作系统中,它将简单显示一个错误提示,类似于字符串原创 2007-02-08 23:20:00 · 697 阅读 · 0 评论