- 博客(5)
- 收藏
- 关注
RSS订阅原创 PE文件格式详解(4)
1.RVA to RAW PE文件加载到内存时,每个节区都要准确完成内存地址与文件偏移的映射。这种映射便称为RVA to RAW,实现这个过程需要经过以下的步骤。 1.查找RVA所在节区。 2.使用公式计算出文件偏移。 根据IMAGE_SECTION_HEADER结构体,换算公式如下。 RAW - PoniterTo
2017-08-13 17:02:04
2234
原创 PE文件格式详解(3)
1.节区头 节区头中定义了各节区的属性。PE文件中的code(代码)、data(数据)、resource(资源)等按照属性分类存储在不同节区,这样可以保证程序的安全性。 IMAGE_SECTION_HEADER 节区头是由IMAGE_SECTION_HEADER结构体构成的数组,每个结构体对应一个节区。代码 IMAGE_SECTION_HEADER
2017-08-12 17:49:40
936
原创 PE文件格式详解(2)
1.NT头接下来说一下NT头,IMAGE_NT_HEADERS。代码 IMAGE_NT_HEADERS结构体typedef struct _IMAGE_NT_HEADERS{ DWORD Signature; //PE Signature : 50450000 ("PE"00) IMAGE_FILE_HEADER
2017-08-11 19:32:31
1063
原创 PE文件格式详解(1)
PE头由许多结构体组成,接下来分别解释一下各部分。1.DOS头 微软最初创建PE格式的时候,DOS文件被人们广泛的使用,为了实现PE文件对DOS文件的兼容性。结果是在PE头的最前面添加了一个IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE头。代码IMAGE_DOS_HEADER结构体typedef strucet _IMAGE_DOS_HEA
2017-08-10 10:26:31
2502
原创 PE文件格式详解(0)
0.介绍 PE是Windows操作系统性爱使用的可执行文件格式。它是微软在UNIX平台的COFF(Common Object File Format,通用对象格式)基础上而成的(在Windows开发环境中,PE格式也称为PE/COFF格式。)。最初(正如Portable这个单词所代表的那样)设计用来提高程序在不同操作系统上的移植性,但实际上这种文件格式仅使用在Windows系列的操
2017-08-07 10:58:29
1398
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人