PE 文件格式

exchen 7年前 (2017-11-06) 13660浏览 0评论

010 Editor 是一款很好用的编辑器，其中有一个很好的特点是可以运行模板文件来分析二进制文件。 官网地址是：http://www.sweetscape.com 模板文件地址是：http://www.sweetscape.com/010edito...

exchen 14年前 (2011-05-08) 4755浏览 0评论

获取PE文件的区段表，用的方法是，首先打开CreateFile，然后读取这个文件的DosHeader， 从DosHeader中取e_lfanew这个成员的值，这样就能知道“PE00”的偏移，然后SetFilePointer文件的指针 到e_lfane...

exchen 15年前 (2010-06-10) 5098浏览 0评论

判断是不是一个 PE 文件有很多种方法，我们用的方法是： 先读取 Dos 头，判断 e_magic 是否等于"MZ"，然后再读取 PE 文件头的头字节，判断是不是 "PE00"。这样就能确定是不是一个有效的 PE 文件。代码如下： ...

exchen 15年前 (2010-06-10) 4318浏览 0评论

上次我们认识了Dos头，这次我们来认识一下PE文件头 紧跟着Dos stub的是PE文件头（PE Header），PE装载器将从IMAGE_DOS_HEADER结构中的e_lfanew字段里找到PE Header的起 始偏移量。该结构如下： type...

exchen 15年前 (2010-06-10) 4767浏览 0评论

每个PE文件都是以一个Dos程序开始的，有了它，一旦程序在Dos下执行，Dos就能识别出这是有效的执行体，然后运行紧随MZ header之后的Dos stub(Dos块). Dos stub实际上是一个有效的EXE，在不支持PE文件格式的操作系统中，...

exchen 15年前 (2010-06-10) 4388浏览 0评论

Windows下的EXE可执行文件都是属于PE格式。PE是英文Portable Executable的缩写，它是一种针对于微软Windows NT、Windows 95和Win32系统，由微软公司设计的可执行的二进制文件格式，EXE、DLL都是属于P...