最新消息:

PE 文件格式

使用 010 Editor 分析二进制文件格式

使用 010 Editor 分析二进制文件格式

exchen 7个月前 (11-06) 752浏览 0评论

010 Editor 是一款很好用的编辑器,其中有一个很好的特点是可以运行模板文件来分析二进制文件。 官网地址是:http://www.sweetscape.com 模板文件地址是:http://www.sweetscape.com/010edito...

获取 PE 文件的区段表

获取 PE 文件的区段表

exchen 7年前 (2011-05-08) 156浏览 0评论

获取PE文件的区段表,用的方法是,首先打开CreateFile,然后读取这个文件的DosHeader, 从DosHeader中取e_lfanew这个成员的值,这样就能知道“PE00”的偏移,然后SetFilePointer文件的指针 到e_lfane...

判断是不是 PE 文件

判断是不是 PE 文件

exchen 8年前 (2010-06-10) 179浏览 0评论

判断是不是一个 PE 文件有很多种方法,我们用的方法是: 先读取 Dos 头,判断 e_magic 是否等于"MZ",然后再读取 PE 文件头的头字节,判断是不是 "PE00"。这样就能确定是不是一个有效的 PE 文件。代码如下: ...

PE文件头

PE文件头

exchen 8年前 (2010-06-10) 174浏览 0评论

上次我们认识了Dos头,这次我们来认识一下PE文件头 紧跟着Dos stub的是PE文件头(PE Header),PE装载器将从IMAGE_DOS_HEADER结构中的e_lfanew字段里找到PE Header的起 始偏移量。该结构如下: type...

MS-DOS 头部

MS-DOS 头部

exchen 8年前 (2010-06-10) 176浏览 0评论

每个PE文件都是以一个Dos程序开始的,有了它,一旦程序在Dos下执行,Dos就能识别出这是有效的执行体,然后运行紧随MZ header之后的Dos stub(Dos块). Dos stub实际上是一个有效的EXE,在不支持PE文件格式的操作系统中,...

认识PE文件

认识PE文件

exchen 8年前 (2010-06-10) 162浏览 0评论

Windows下的EXE可执行文件都是属于PE格式。PE是英文Portable Executable的缩写,它是一种针对于微软Windows NT、Windows 95和Win32系统,由微软公司设计的可执行的二进制文件格式,EXE、DLL都是属于P...