随笔分类 - PE结构
摘要:PE结构浅析 知识导向: 程序最开始是存放在磁盘上的,运行程序首先需要申请4GB的内存,将程序从磁盘copy到内存,但不是直接复制,而是进行拉伸处理。 这也就是为什么会有一个文件中地址和一个VirtualAddress,即所谓的FOA和VA RVA是相对地址,也就是相对于可选头中ImageBase的
阅读全文
摘要:导入表的结构导入表的结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstT
阅读全文
摘要:导出函数的总数--》以导出函数序号最大的减最小的+1,但导出函数序号是可自定义的,所以NumbersOfFunctions是不准确的 1.根据函数名称找,函数名称表-》对应索引函数序号表中的函数地址表索引-》函数地址表 2.根据函数序号找,序号-base==》函数地址表的索引 盲猜该表的形成过程:
阅读全文
