在学习之前，我们来看看上次的进度 以及对应的结构体 同样的，我们先在msdn中查看下这个结构体 第一个值，表示文件的格式，它可能的值有 IMAGE_NT_OPTIONAL_HDR_MAGIC，这个值包括两个值，分别为 ...

原来是4096B，也就是4kb了。 第十二个值是FileAlignment，表示文件对齐粒度。 The alignment of the raw data of sections in the image file, in bytes. The value should ...

一、PE文件结构 PE即Portable Executable，是win32环境自身所带的执行体文件格式，其部分特性继承自Unix的COFF（Common Object File Format）文件格式。PE表示该文件格式是跨win32平台的，即使Windows运行在非Intel的CPU ...

一． PE文件结构图 二． DOS 头部 其中最后一个字段DWORD e_lfanew;的值为PE文件头的相对偏移地址（RVA）; 三．PE文件头 结构体的定义:IMAGE_NT_HEADERS ...

说明：本文件中各种文件头格式截图基本都来自看雪的《加密与解密》；本文相当《加密与解密》的阅读笔记。 1.PE文件总体结构 PE文件框架结构，就是exe文件的排版结构。也就是说我们以十六进制打开一个.exe文件，开头的那些内容就是DOS头内容，下来是PE头内容，依次类推。 如果能认识到 ...

前言 目前网络上有关PE文件结构说明的文章太多了，自己的这篇文章只是单纯的记录自己对PE文件结构的学习、理解和总结。 基础概念 PE（Portable Executable：可移植的执行体）是Win32环境自身所带的可执行文件格式。它的一些特性继承自Unix的Coff(Common ...

0x01 前言 上一篇讲到了数据目录表的结构和怎找到到数据目录表（DataDirectory[16]），这篇我们我来讲讲数据目录表后面的另一个结构——区块表。 0x01 区块 区块就是PE载入器将PE文件载入后，将PE文件分割成若干块，每块包含不同的信息，由读写数据块.data，代码 ...

1 基本概念 下表描述了贯穿于本文中的一些概念： 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢？因为 ...