今天先说说
C32asm。是个静态分析的好工具。可以用来研究pe格式,研究资源。修改资源等等。
Ctrl+O打开一个exe文件
ctrl+H 切换为hex模式。
ctrl+W切换为汇编模式。就是直接将 4d 5a 开头的文件 直接翻译成汇编代码了。
ctrl+F搜索内容,可以用unicode 直接输入要查找的字符和汉字。
各个exe,dll文件的前64个字节几乎都是一样的,都是
选中前四行,在最下方状态栏就显示了我们一共选中了64个字节。起始位置和结束位置。
我们将最后四个字节倒着念,就是00 00 01 00.这是一个DOWRD值。32位的,代表PE头的真正位置。
于是我们来到00 00 01 00处,
我们选中的阴影部分是4+20+224个字节。
50 45 00 00占4个字节
_FLIE_HEADER占了20个字节
_OPTIONAL_HEADER 占去224个字节。
再下面是各个节的信息,如CODE。。。。。
DATA。。。。。。,每个节占两行半,也就是40个字节。
_FLIE_HEADER
4c 01 机器数
00 08 是节的数目
2a 42 5e 19 是时间戳 倒着念
最后两个是 81 8f 代表文件的属性。
_OPTIONAL_HEADER
前2个字节是魔法数 若是 01 0b 就代表是exe 文件
size of code 是 第5到8个字节。00 00 94 00 个字节
在魔法数的正下方,是00 00 9b 80 四个字节。是
Address of EntryPoint。整整相差16个字节,也就是一行。