![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PE
Accesspeng
这个作者很懒,什么都没留下…
展开
-
PE 头文件 IMAGE_NT_HEADER
PE Header是PE相关结构NT映像头IMAGE_NT_HEADER的简称 PE头文件开始是一个字符串PE00(50 45 00 00) 由MS_DOS头部的e_1fanew字段指向 IMAGE_NT_HEADERS STRUCT{ +00H DWORD Signature +04H IMAGE_FILE_HEADER FileHeader +18H IMAG原创 2013-07-03 18:38:27 · 1254 阅读 · 0 评论 -
PE文件
PE是一种可执行文件格式 基地址:当PE文件被Windows装载器装入内存后内存中的版本被称为 模块。映射文件的起始地址被称为模块句柄也成为基地址 相对虚拟地址:相对于PE文件装入地址的偏移 虚拟地址:实际的内存地址 文件偏移地址:数据在磁盘上的地址也称物理地址 参考《加密与解密》,还有fishc.com 小甲鱼的视频不错原创 2013-07-03 18:17:29 · 542 阅读 · 0 评论 -
MS_DOS头部 IMAGE_DOS_HEADER
MS_DOS头部IMAGE_DOS_HEADER STRUCT{ +00H WORD e_magic ;DOS可执行文件标记字符串MZ(4D 5A) +3CH DWORD e_1fanew ;指向PE文件头 } IMAGE_DOS_HEADER ENDS 用十六进制编辑器打开一个EXE文件 如QQ.EXE e_magic=5A 4De_1fanew=000001原创 2013-07-03 18:31:41 · 871 阅读 · 0 评论