0x01 前言 上一篇讲到了数据目录表的结构和怎找到到数据目录表（DataDirectory[16]），这篇我们我来讲讲数据目录表后面的另一个结构——区块表。 0x01 区块 区块就是PE载入器将PE文件载入后，将PE文件分割成若干块，每块包含不同的信息，由读写数据块.data，代码 ...

一、PE结构基础 看了很多PE结构类的东东，要不上来就是整体结构，要不就是一大堆ASM代码，看的我等菜鸟有点难受！所以自己写个帖·学习PE我们先来弄懂几个问题! 1:几个地址的概念 VA:虚拟地址，也就是内存中的地址！ RVA:相对虚拟地址，等于VA-ImageBase Offset:物理地址 ...

IMAGE_OPTIONAL_HEADER结构体最后一个成员是数组结构，大小为16，每个元素都是一个IMAGE_DATA_DIRECTORY结构体 在这个数据目录结构体中只有两个成员VirtualAddress和Size，这两个成员的含义比较简单，VirtualAddress指定 ...

1 基本概念 下表描述了贯穿于本文中的一些概念： 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢？因为 ...

一． PE文件结构图 二． DOS 头部 其中最后一个字段DWORD e_lfanew;的值为PE文件头的相对偏移地址（RVA）; 三．PE文件头 结构体的定义:IMAGE_NT_HEADERS ...

PE文件 是微软 Win32 环境下可执行文件的标准格式。 所谓的可执行文件并不仅仅是常见的 EXE 文件，DLL,SYS,VXD 等文件也都属于 PE 格式 ...

0x00 前言 上一篇介绍了区块表的信息，以及如何在hexwrokshop找到区块表。接下来，我们继续深入了解区块，并且学会文件偏移和虚拟地址转换的知识。 0x01 区块对齐值 首先我们要知道啥事区块对齐？为啥要区块对齐？这个问题其实困扰了我很久，只能怪我操作系统没学好。。。我现在 ...

0x00 前言 前面了解了PE文件的输入和输出，今天来看看另一个重要的结构——资源。资源结构是很典型的树形结构，层层查找，最终找到资源位置。 0x01 资源结构介绍 Windows程序的各种界面成为资源，包括加速键，位图，光标，对话框，图标，菜单，串标，工具栏，版本信息等等，在所有的PE ...