摘要:
结构体源代码如下: AddressOfEntryPoint ***(必须了解)*** 程序开始执行的地址,这是一个RVA(相对虚拟地址)。对于exe文件,这里是启动代码;对于dll文件,这里是libMain()的地址。如果在一个可执行文件上附加了一段代码并想让这段代码首先被执行,那么只需要将这个入口 阅读全文
2019年5月14日
摘要:
源代码如下: Machine字段 常用的有: 宏定义 平台及相关意义 数值 IMAGE_FILE_MACHINE_I386 x86、Intel 386 0x014c IMAGE_FILE_MACHINE_IA64 Intel Itanium、Intel 64 0x0200 IMAGE_FILE_MA 阅读全文
摘要:
[PE格式分析] 3.IMAGE_NT_HEADER 源代码如下: typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature; // 固定为 0x00004550 根据小端存储为:"PE.." +04h IMAGE_FILE_HEADER Fil 阅读全文
摘要:
对于我们来说,有用的只有两个数据,一个是 e_magic 固定为 “MZ”,另外一个是最后的 e_lfanew ,指向pe头 看以下实例: 阅读全文
