PE
关注
分享
扫一扫
WOWrice
这个作者很懒,什么都没留下…
展开
-
PE中节表IMAGE_SECTION_HEADER详(四)
typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_ SIZEOF_ SHORT_ NAME]; //ASCI字符串 可自定义只截取8个 union { DWORD PhysicalAddress; DWORD VirtualSize; } Mlisc; DWORD VirtualAddress;//在内存中的偏移地址,加上Im...原创 2019-12-27 19:36:23 · 1081 阅读 · 0 评论 -
PE中可选PE头IMAGE_OPTIONAL_HEADER32/64 简(三)
文章目录IMAGE_OPTIONAL_HEADER32/64WORD Magic程序入口DWORD CheckSumIMAGE_OPTIONAL_HEADER32/64PE头中的第三部分,可选(扩展)PE头,重点为“+”typedef struct _IMAGE_NT_HEADERS{ DWORD Signature //PE标识 IMAGE_FILE...原创 2019-12-26 23:27:59 · 1153 阅读 · 0 评论 -
PE 中标准PE头IMAGE_FILE_HEADER详(二)
数据位常量符号为1的含义0IMAGE_ FILE_ RELOCS STRIPPED文件中不存在重定位信息1IMAGE_ FILE_ EXECUTABLE_ IMAGE文件是可执行的2IMAGE_ FILE_ LINE NUMS_STRIPPED不存在行信息3IMAGE_ FILE_ LOCAL. SYMS_ STRIPPED不存在符号信息...原创 2019-12-26 21:24:23 · 790 阅读 · 0 评论 -
PE框架基础学习(一)
PE 结构图虚拟地址(VA): 在一个程序运行起来的时候,会被加载到内存中,并且每个进程都有自己的4GB,这个4GB当中的某个位置叫做虚拟地址,由物理地址映射过来的,4GB的空间,并没有全部被用到。基地址( Imagebase ): 磁盘中的文件加载到内存当中的时候可以加载到任意位置,而这个位置就是程序的基址。EXE默认的加载基址是400000h,DLL文件默认基址是100000...原创 2019-12-25 18:44:09 · 3561 阅读 · 0 评论