- 博客(4)
- 资源 (4)
- 收藏
- 关注
RSS订阅转载 PE文件格式四(转载)
附录 : 让我们再来讨论一下 bound import 。当 PE 装载器装入 PE 文件时,检查引入表并将相关 DLLs 映射到进程地址空间。然后象我们这样遍历 IMAGE_THUNK_DATA 数组并用引入函数的真实地址替换 IMAGE_THUNK_DATAs 值。这一步需要很多时间。如果程序员能事先正确预测函数地址, PE 装载器就不用每次装入 PE 文件时都去修正 IMAGE_THU
2007-12-02 18:37:00
508
转载 PE文件格式三(转载)
PE 教程 6: Import Table (引入表) 本课我们将学习引入表。先警告一下,对于不熟悉引入表的读者来说,这是一堂又长又难的课,所以需要多读几遍,最好再打开调试器来好好分析相关结构。各位,努力啊! 下载 范例 。 理论 : 首先,您得了解什么是引入函数。一个引入函数是被某模块调用的但又不在调用者模块中的函数,因而命名为 "import (引入) " 。引入函数实际位于一
2007-12-02 18:24:00
488
转载 PE文件格式二(转载)
PE 教程 3: File Header (文件头) 本课我们将要研究 PE header 的 file header (文件头)部分。 至此,我们已经学到了哪些东东,先简要回顾一下 : DOS MZ header 又命名为 IMAGE_DOS_HEADER . 。其中只有两个域比较重要 : e_magic 包含字符串 "MZ" , e_lfanew 包含 PE hea
2007-12-02 18:21:00
491
转载 PE文件格式一(转载)
教程1 : PE 文件格式一览 PE 的意思就是 Portable Executable (可移植的执行体)。它是 Win32 环境自身所带的执行体文件格式。它的一些特性继承自 Unix 的 Coff (common object file format) 文件格式。 "portable executable" (可移植的执行体)意味着此文件格式是跨 win32 平台的 : 即使 Window
2007-12-02 18:18:00
368
Windows NT/2000 Native API Reference
2008-03-01
Programming Applications for Windows
2008-02-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人