PE文件分析
文章平均质量分 82
Anthony_BW
这个作者很懒,什么都没留下…
展开
-
PE文件自学笔记(一):DOS头与PE头解析
Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为:...原创 2018-11-13 21:00:33 · 887 阅读 · 0 评论 -
PE文件自学笔记(二):Section Table结构解析
1.Section Table结构解析Section Table(节表)是记录PE文件中各个节的详细信息的集合,其每个成员是struct _IMAGE_SECTION_HEADER结构体,即节表是一个结构体数组来维护,属于线性结构。而节表的相对起始位置为:紧接着可选PE表。即:DOS头 + 中间空闲及垃圾数据 + NT头(三部分:4字节签名+标准PE头20字节+可选PE头)。#defin...原创 2018-11-13 23:09:37 · 547 阅读 · 0 评论