0x0 基础知识 当PE文件被执行的时候，Windows加载器将文件装入内存并将导入表登记的动态链接库（一般是DLL格式）文件一并装入地址空间，再根据DLL文件中的函数导出信息对被执行文件的IAT进行修...

0x0 基础知识 00 RVA & FOA 转换； 当一个 PE 文件被加载到内存中以后，我们称之为 ' 映象 '(image)。一般来说，PE文件在硬盘上和在内存里是不完全一样的，被加载到内存以后其占用的虚拟地...

0x0 基础知识 00 区段名及其含义 区段名含义.text默认的代码区块, 它的内容全是指令代码,链接器把所有目标文件的text块连接成一个大的.text块，使用Borland C++编译器产生的代码存放在CODE的区...

0x0 基础知识 在PE可选头(OptionalHeader)结构中的DataDirectory是OptionalHeader的最后128个字节，也是IMAGE_NT_HEADERS的最后一部分数据。 它由16个IMAGE_DATA_DIRECTORY结构组成的数组构成，...

0x0 基础知识 PE文件头的结构有两种，分别对应32位的程序和64位的程序，它们的差异在于扩展PE头的结构 PE文件头结构说明_IMAGE_NT_HEADERS32位程序对应的PE文件头结构_IMAGE_NT_HEADERS6464位程...

0x0 基础知识 DO 头分为两部分：DOS 'MZ' HEADER 和 DOS stub DOS头的作用是 兼容 MS-DOS 操作系统中的可执行文件，对于 32位PE文件来说，DOS 所起的作用就是显示一行文字，提示用户：我需要在3...

0x0 PE文件总体结构 PE (Portable Execute) 文件是Windows下可执行文件的总称，常见的有 DLL，EXE，OCX，SYS，COM 等。它是微软在 UNIX 平台的 COFF(通用对象文件格式)基础上制作而成。最初设计...

0x0 可执行文件 00 什么是可执行文件 01 可执行文件格式 系统文件结构翻译Windows 平台PE (Portable Executable) 文件结构翻译为：可移植 可执行Linux 平台ELF (Executable and Linking Format)...