【PE文件结构】
【PE结构相关的3种地址】
【特征码】
很多EXE会被加壳,加壳的特点是入口地址被替换。所以入口地址处的代码常常可以用来判断EXE是否被加壳,以及用来判断是哪种程序生成的程序。这些可以判定目标的二进制机器码被称为特征码。特征码匹配就是一个二进制的匹配。
