PE文件 是微軟 Win32 環境下可執行文件的標准格式。 所謂的可執行文件並不僅僅是常見的 EXE 文件，DLL,SYS,VXD 等文件也都屬於 PE 格式 ...

0x00 前言 上一篇介紹了區塊表的信息，以及如何在hexwrokshop找到區塊表。接下來，我們繼續深入了解區塊，並且學會文件偏移和虛擬地址轉換的知識。 0x01 區塊對齊值 首先我們要知道啥事區塊對齊？為啥要區塊對齊？這個問題其實困擾了我很久，只能怪我操作系統沒學好。。。我現在 ...

0x00 前言 前面了解了PE文件的輸入和輸出，今天來看看另一個重要的結構——資源。資源結構是很典型的樹形結構，層層查找，最終找到資源位置。 0x01 資源結構介紹 Windows程序的各種界面成為資源，包括加速鍵，位圖，光標，對話框，圖標，菜單，串標，工具欄，版本信息等等，在所有的PE ...

0x00 前言 上一篇講到了PE文件頭的中IMAGE_FILE_HEADER結構的第二個結構，今天從IMAGE_FILE_HEADER中第三個結構sizeOfOptionalHeader講起。這個字段的結構名也叫做IMAGE_OPTIONAL_HEDAER講起。 0x01 ...

PE文件格式詳解（七） Ox00 前言 前面好幾篇在講輸入表，今天要講的是輸出表和地址的是地址重定位。有了前面的基礎，其實對於怎么找輸出表地址重定位的表已經非常熟悉了。 0x01 輸出表結構 當創建一個DLL文件時，實際上創建了一組能讓EXE或者其他DLL調用的一組函數 ...

0x00 前言 前一篇了解了區塊虛擬地址和文件地址轉換的相關知識，這一篇該把我們所學拿出來用用了。這篇我們將了解更為重要的一個知識點——輸入表和輸出表的知識。 0x01 輸入表 首先我們有疑問。這個輸入表是啥？為啥有輸入表？其實輸入表就是記錄PE輸入函數相關信息的一張表。那為什么要有 ...

PE文件格式介紹（一） 0x00 前言 PE文件是portable File Format（可移植文件）的簡寫，我們比較熟悉的DLL和exe文件都是PE文件。了解PE文件格式有助於加深對操作系統的理解，掌握可執行文件的數據結構機器運行機制，對於逆向破解，加殼等安全方面方面的同學極其重要 ...

PE文件格式分析 PE 的意思是 Portable Executable(可移植的執行體)。它是 Win32環境自身所帶的執行文件格式。它的一些特性繼承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植 ...