2008年6月23日
PE文件格式小炒
摘要: 最近都在研究如何利用最少的字节判断两个PE文件是否相同。 PE文件几个关键: 1. 在一个PE文件的开始处,我们会看到一个MS-DOS可执行体(英语叫“stub”,意为“根,存根”);它使任何PE文件都是一个有效的MS-DOS可执行文件。如图蓝色框部分。0x5A4D:MZ,每个PE文件都是以此开始。 2. 在DOS-根之后是一个32位的签名以及魔数0x00004550 (IMAGE_NT_... 阅读全文
posted @ 2008-06-23 19:32 MK2 阅读(1184) 评论(0) 推荐(0)