PE文件格式分析 PE 的意思是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植 ...

第一阶段：PE文件格式分析 使用UltraEdit观察PE文件例子程序hello-2.5.exe的16进制数据，在打印稿中画出该PE文件基本结构。 使用Ollydbg对该程序进行初步调试，了解该程序功能结构，在内存中观察该程序的完整结构。 熟悉各类PE文件格式查看和编辑工具（PEView ...

PE文件 是微软 Win32 环境下可执行文件的标准格式。 所谓的可执行文件并不仅仅是常见的 EXE 文件，DLL,SYS,VXD 等文件也都属于 PE 格式 ...

0x00 前言 上一篇介绍了区块表的信息，以及如何在hexwrokshop找到区块表。接下来，我们继续深入了解区块，并且学会文件偏移和虚拟地址转换的知识。 0x01 区块对齐值 首先我们要知道啥事区块对齐？为啥要区块对齐？这个问题其实困扰了我很久，只能怪我操作系统没学好。。。我现在 ...

0x00 前言 前面了解了PE文件的输入和输出，今天来看看另一个重要的结构——资源。资源结构是很典型的树形结构，层层查找，最终找到资源位置。 0x01 资源结构介绍 Windows程序的各种界面成为资源，包括加速键，位图，光标，对话框，图标，菜单，串标，工具栏，版本信息等等，在所有的PE ...

0x00 前言 上一篇讲到了PE文件头的中IMAGE_FILE_HEADER结构的第二个结构，今天从IMAGE_FILE_HEADER中第三个结构sizeOfOptionalHeader讲起。这个字段的结构名也叫做IMAGE_OPTIONAL_HEDAER讲起。 0x01 ...

PE文件格式介绍（一） 0x00 前言 PE文件是portable File Format（可移植文件）的简写，我们比较熟悉的DLL和exe文件都是PE文件。了解PE文件格式有助于加深对操作系统的理解，掌握可执行文件的数据结构机器运行机制，对于逆向破解，加壳等安全方面方面的同学极其重要 ...

PE文件格式详解（七） Ox00 前言 前面好几篇在讲输入表，今天要讲的是输出表和地址的是地址重定位。有了前面的基础，其实对于怎么找输出表地址重定位的表已经非常熟悉了。 0x01 输出表结构 当创建一个DLL文件时，实际上创建了一组能让EXE或者其他DLL调用的一组函数 ...