cay22的专栏

http://hi.baidu.com/sageking2/blog/item/c653a23dfe2bfae73c6d9715.html把某个PE文件里的DOS Stub程序分离出来正常PE文件格式会有一个Dos Stub块，事实上就是一个DOS下的*.exe程序。当我们拿一个Win32程序跑到DOS系统下运行就会执行这个程序。      先拿十六进制工具WinHex打开一个De

PE文件格式分析系列(文章3)一个PE文件rdata段的分析(Win32工程Release版)(二)下面分析这个PE文件rdata段的常量数据(000050A4---0000543D)000050A0 |                         00 00 00 00 |     .... |000050A8 | FF FF FF FF 27 11 40 00 |

PE文件格式分析系列(文章2)一个PE文件rdata段的分析(Win32工程Release版)(一)在分析MFC工程调试版的PE文件时, 导入表在idata段而这个Win32工程Release版的PE文件, 导入表在rdata段, 并且rdata段不仅包含导入表信息, 还包含了一些常量, 例如一些字符串信息等. 下面先分析idata段.IMAGE_DIRECTORY_ENT

PE文件格式分析系列(文章1)一个PE文件导入表数据的分析(MFC工程调试版)一. 该PE文件使用了6个DLL分别是:1. mfc42d.dll2. msvcrtd.dll3. kernel32.dll4. user32.dll5. mfco42d.dll6. msvcp60d.dll故有6个 IMAGE_IMPORT_DESCRIPTOR (IMAGE_I

TestSwitch.rar里的PE文件很奇怪(这个文件是我自己代码编译出来的)看图1IMAGE_SECTION_HEADER (Count: 3) (Size: 0x0028H)(ROF: 0x000001C0)       Name       VSize               VAddress     SOfRawData   PToRawData 00  .tex

VC编译的exe程序, Debug版会有重定位表, Release版就没有重定位表可能是用于调试用的吧， 通常exe没有重定位表的， 而DLL通常就有。

http://hi.baidu.com/mymillet/blog/item/0c09123debead3c19f3d6249.html输入表结构我们知道,程序调用外部的dll函数通常都是下面这种形式:    call my_label    ...my_label: jmp dword ptr [xxxxxxxx]    对一个dll中的函数的调用总是通过一个地址间接的调用的

关于IMAGE_OPTIONAL_HEADER.SectionAlignment与IMAGE_OPTIONAL_HEADER.FileAlignment 以及内存映射的字节对齐的关系.一. PE格式(包括文件中和内存中)是怎么分块对齐的?PE的大概格式是:IMAGE_DOS_HEADER + Stub + IMAGE_NT_HEADERS + IMAGE_SECTION

关于PE文件格式中IMAGE_OPTIONAL_HEADER.FileAlignment的一些说明这个字段是在文件对齐时使用的.例如FileAlignment = 0x1000, 有一个节真正有用的数据大小为0x400, 但是因为FileAlignment是0x1000, 所以连接器生成文件时, 该节的大小就是0x1000了. 这就是文件对齐.看下面数据:IMAGE_DOS_HEA

【翻译】“PE文件格式”1.9版 完整译文（附注释）标 题: 【翻译】“PE文件格式”1.9版 完整译文（附注释）作 者: ah007时 间: 2006-02-28,13:32:12链 接: http://bbs.pediy.com/showthread.php?t=21932$Id: pe.txt,v 1.9 1999/

http://blog.youkuaiyun.com/clever101/article/details/6024047http://www.cnblogs.com/hoodlum1980/archive/2010/09/08/1821778.html

http://topic.youkuaiyun.com/u/20091030/05/2362D834-B848-4047-9D02-BA61D2C5DB1C.htmlhttp://ntcore.com/files/richsign.htm http://www.heibai.net/articles/technical/bianchengxiangguan/2010/1102/10779.html

http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/ IAT表详解IAT的全称是Import Address Table。对于每一个引入的可执行文件（例如dll），有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。typedef struct _IMAGE_IMPORT_D

IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT问题今天读取了ws2_32.dll的PE格式在读取到image_nt_header32.OptionalHeader.DataDirectory[11]时也就是IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT数据目录看下面数据目录       Name            RVA

VC生成的exe文件中, Dos头部分除了Dos Stub之外, 还多了一些东西gcc编译器编译出来的exe文件的dos头部stub部分只有This program cannot be run in DOS mode，但是VC除此之外还多出来几行，谁知道这几行这是干什么的，在纯dos模式下VC也不过就是显示This program cannot be run in DOS mode，没干其他事

VC中改变PE文件中Dos Stub程序(显示This program cannot be run in DOS mode)那一段程序.1. 先做一个纯DOS下的dos16.exe, (masm5.0编译连接)2. 然后做一个window下的win32.exe (VC6.0编译连接)3. 在Vc++菜单|project|project|settings|link|projext

一. 下载安装pefile库https://code.google.com/p/pefile/downloads/list解压后, 把pefile.py和peutils.py拷贝到你的工程中即可.(你也可以安装到Python中, 就是双击Setup.py后把pefile.pyc拷贝到X:\PythonXX\Lib\site-packages)https://code.googl