說明：本文件中各種文件頭格式截圖基本都來自看雪的《加密與解密》；本文相當《加密與解密》的閱讀筆記。 1.PE文件總體結構 PE文件框架結構，就是exe文件的排版結構。也就是說我們以十六進制打開一個.exe文件，開頭的那些內容就是DOS頭內容，下來是PE頭內容，依次類推。 如果能認識到 ...

一． PE文件結構圖 二． DOS 頭部 其中最后一個字段DWORD e_lfanew;的值為PE文件頭的相對偏移地址（RVA）; 三．PE文件頭 結構體的定義:IMAGE_NT_HEADERS ...

前言 目前網絡上有關PE文件結構說明的文章太多了，自己的這篇文章只是單純的記錄自己對PE文件結構的學習、理解和總結。 基礎概念 PE（Portable Executable：可移植的執行體）是Win32環境自身所帶的可執行文件格式。它的一些特性繼承自Unix的Coff(Common ...

0x01 前言 上一篇講到了數據目錄表的結構和怎找到到數據目錄表（DataDirectory[16]），這篇我們我來講講數據目錄表后面的另一個結構——區塊表。 0x01 區塊 區塊就是PE載入器將PE文件載入后，將PE文件分割成若干塊，每塊包含不同的信息，由讀寫數據塊.data，代碼 ...

在學習之前，我們來看看上次的進度 以及對應的結構體 同樣的，我們先在msdn中查看下這個結構體 第一個值，表示文件的格式，它可能的值有 IMAGE_NT_OPTIONAL_HDR_MAGIC，這個值包括兩個值，分別為 ...

原來是4096B，也就是4kb了。 第十二個值是FileAlignment，表示文件對齊粒度。 The alignment of the raw data of sections in the image file, in bytes. The value should ...

1 基本概念 下表描述了貫穿於本文中的一些概念： 名稱 描述 地址 是“虛擬地址”而不是“物理地址”。為什么不是“物理地址”呢？因為 ...

一、PE文件結構 PE即Portable Executable，是win32環境自身所帶的執行體文件格式，其部分特性繼承自Unix的COFF（Common Object File Format）文件格式。PE表示該文件格式是跨win32平台的，即使Windows運行在非Intel的CPU ...