PE
关注
分享
扫一扫
文章平均质量分 84
yi_yoo_
no
展开
-
PE文件结构
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等。 PE文件的结构一般来说如下图所示:从起始位置开始依次是DOS头,NT头,节表以及具体的节。 · DOS头是用来兼容MS-DOS操作系统的,目的是当这个文件在MS-DOS上运行时提示一段文字,大部分情况下是:This program cannot原创 2016-01-16 16:02:37 · 517 阅读 · 0 评论 -
PE文件的内存映射
文件偏移地址(File OffSet):静态反汇编工具看到的PE文件中某条指令的位置是相对于磁盘文件的。所谓的文件偏移地址是指文件在磁盘上存放时相对于文件开头的偏移。 装载基址(Image Base):PE文件装入内存时的基地址。默认情况下,EXE文件的基址为0x00400000,DLL文件的基址为0x10000000。 虚拟内存地址(Virtual Address,V原创 2016-01-16 16:25:16 · 466 阅读 · 0 评论 -
导入表
typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向输入名称表(INT)的RVA }; DWORD TimeDateSt原创 2016-02-28 20:51:22 · 577 阅读 · 0 评论