吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 23612|回复: 42
收起左侧

[系统底层] Win10 X64 PE文件结构分析及其加载机制

  [复制链接]
cct123 发表于 2016-4-29 15:15
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXEDLLOCXSYSCOM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993WindowsNT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变化、新特性的增加、文件格式的转换,以及内核的重新定位等,都发生了翻天覆地的变化,硬件架构也从16位发展到现在的64位架构,而这些变化对PE格式的影响却不大。由于PE格式有较好的数据组织方式和数据管理算法,面对如此多的变化却能保持其设计的优雅。
本文通过对WIN10 X64下VS2015编译生成的X64版本的运行文件的研究进行对PE32+文件结构的分析。

01.png
文章编辑太费劲了,我把文章发布到链接地址:http://blog.csdn.net/liuyez123/article/details/51281905,有兴趣的朋友可以看看。

免费评分

参与人数 6吾爱币 +4 热心值 +6 收起 理由
筠溪 + 1 + 1 受教了。好好看看我得
morning + 1 + 1 用心讨论,共获提升!
LowerAI + 1 + 1 谢谢@Thanks!
linxi7 + 1 + 1 文章很长,有的看了
laolong + 1 我很赞同!
VII’s + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

筠溪 发表于 2017-8-1 08:48
“然后你反汇编它并发现访问一个变量的线性地址位于0x1051d0处。二进制文件的线性地址在装入时将被重定位,并常被假定使用的是优先载入地址。因为你已查明优先载入地址为0x100000,因此我们可开始处理RVA 0x51d0了。因数据节开始于RVA 0x5000处,且有2048字节长,所以它处于数据节中。又因数据节在文件中开始于偏移量0x4800处,所以该变量就可以在文件中的0x4800+0x51d0-0x5000=0x49d0处找到。”
不是说节至少是4096长吗?怎么就2048了。。。。
头像被屏蔽
点击下载 发表于 2016-4-29 15:34
慢慢的拼凑 发表于 2016-4-29 15:52
ml863606 发表于 2016-4-29 16:00
看不懂  哈哈
Hmily 发表于 2016-4-29 17:12
@cct123 文章写的很棒,把文章编辑到论坛,方便给与精华。
mrzcpo 发表于 2016-4-29 17:17
谢谢lz   lz辛苦了
海风爸爸 发表于 2016-7-9 08:11
lz是个牛人啊。。。。
9152pojie 发表于 2016-7-27 11:40
这个可以看看
heyonghua 发表于 2016-7-30 15:39
认真学习中
冷雪trouble 发表于 2016-7-31 12:41 来自手机
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 21:22

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表