oBuYiSeng的博客

RVA: (RelativeVirtual Address简称RVA),RVA只是内存中的一个简单的相对于PE文件装入地址的偏移位置，或称为偏移量。公式: 目标地址(401000h) ---装入地址(Imagebase)400000h=RVA1000h   VA:在PE用语里，实际的内存地址被称作虚拟地址(Virtual Address )简称VA。即OD里面能

下载链接  http://download.csdn.net/detail/obuyiseng/9380071里面含有两个文件：PE结构图：是由看雪论坛得到的，不知道作者是谁PE结构：这里存放的是PE结构

// helloworld1.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include DWORD RVA2OffSet(DWORD dwRVA, PIMAGE_NT_HEADERS32 pNt){ DWORD dwOffset = 0; // 1. 获取第一个区段结构体 PIMAGE_SECTION_HEADER

重定位就是你本来这个程序理论上要占据这个地址，但是由于某种原因，这个地址现在不能让你霸占，你必须转移到别的地址，这就需要基址重定位。// 【基址重定位位于数据目录表的第六项，共8 + N字节】typedef struct _IMAGE_BASE_RELOCATION{ DWORD VirtualAddress; //重定位数据开始的RVA 地址 DWORD SizeOfBloc

// 资源表2.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include #include #include DWORD RVA2Offset(DWORD dwRva, PIMAGE_NT_HEADERS32 pNt){ DWORD dwOffset = 0; PIMAGE_SECTION_HEADER pSection = I

资源在PE中是以目录的形式存在的，一般有3层：资源类型，目标资源ID与资源代码页都是以IMAGE_RESOURCE_DIRECTORY结构为头部的，并且后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。IMAGE_RESOURCE_DIRECTORY，负责指出后面数组中的成员个数IMAGE_RESOURCE_DIRECTORY_ENTRY，数组成员分

// 导入表2.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include #include #include DWORD Rva2Offset(DWORD Rva, PIMAGE_NT_HEADERS32 pNt){ DWORD dwOffset = 0; //获取区段表 PIMAGE_SECTION_HEADER

1、导入表基址是PE文件从其他三方程序中导入API，以供本程序调用的机制2、是分析最好的切入点IMAGE_IMPORT_DESCRIPTOR只是一个引导的角色，引导系统找到真正保存有导入信息的其他两个结构： IMAGE_THUNK_DATA IMAGE_IMPORT_BY_NAMEtypedef struct _IMAGE_IMPORT_DESCRIPTOR {

// 导出表2.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include #include #include DWORD RVA2OffSet(DWORD dwRVA, PIMAGE_NT_HEADERS32 pNt){ DWORD dwOffset = 0; //获取区段头表 PIMAGE_SECTION_HEADER

导出表由3个部分构成：  名称表，   函数表，   序号表。   名称表和序号表就是索引，引导调用者找到真正的函数表。   函数表中保存着被导出函数的地址信息   导出表在内存中的顺序是按照输出名称来确定的。    IMAGE_EXPORT_DIRECTORY结构：typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteri

IMAGE_DATA_DIRCTORY结构如下：typedef struct _IMAGE_DATA_DIRECTORY { DWORD　VirtualAddress; //相对虚拟地址 DWORD　Size;　　　　　 //大小} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;  data directory数据目录在WINNT.H中定义为

IMAGE_OPTIONAL_HEADER结构，如下：typedef struct _IMAGE_OPTIONAL_HEADER{ // // Standard fields. // WORD Magic; // 标志字, ROM 映像（0107h）,普通可执行文件（010Bh） BYTE MajorLinkerVersion; // 链接程序的主版

我们在上一篇中已经介绍了NT头相关的结构，接下来分别具体的介绍里面的数据。首先介绍IMAGE_FILE_HEADER 的结构，如下：typedef struct _IMAGE_FILE_HEADER{ WORD Machine; // 运行平台 WORD Numb

IMAGE_NT_HEADERS的结构如下：IMAGE_NT_HEADERS STRUCT { DWORD //PE标志 0x00 IMAGE_FILE_HEADER //文件头 0x04 IMAGE_OPTIONAL_HEADER32 //扩展头 0x18 } IMAGE_NT_HEADERS ENDS       其中包

PE文件结构DOS文件头，会使用到IMAGE_DOS_HEADER结构体，如下图         结构体 IMAGE_DOS_HEADER         第一个参数 e_magic 其值 恒为0x4D5A （MZ） ----- 所以可以使用宏IMAGE_DOS_SIGNATURE进行判断         第19个参数 e_lfanew 其值为NT头部在文件中的偏移，新的exe文件

一、概念PE文件的全称是Portable Executable，意为可移植的可执行的文件，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件（可能是间接被执行，如DLL）。二、

1、010Editor模板获取，有两种方式1）直接访问http://www.sweetscape.com/010editor/templates/获取相应的模板即可2）点击Templates选项--Online Template Repository...会跳转到1）中的网址中，根据需要获取并保持到本地即可2、将模板导入到010Editor中      点击Template