W Blog

读取的字段都是一样的，只是一个直接从PE文件中读取，一个映射到内存后再读取 1.文件直接访问法BOOL ReadOEPByFile(LPCTSTR szFileName){ HANDLE hFile; hFile=CreateFile(szFileName,G

只码重点DLL导出方式：按名称导出：1.__declspec(dllexport) 2.LIBRARY DLLEXPORTS  FuncDll  按序号导出：LIBRARY DLLEXPORTS  FuncDll @ 1 NONAME  按名称和序号导出：LIBRARY DLLEXPORTS  fnDll1 @ 1 NONAM

hMapping=CreateFileMapping(hFile,NULL,PAGE_READWRITE,0,0,NULL);第三个参数或上了SEC_IMAGE，指定该属性相当于告诉系统要映射文件的映像并给页面设置相应的保护属性，具体见核心编程P456。我在写PE加载器的时候发现该参数与ImageRvaToVa函数有冲突！！！！具体ImageRvaToVa是怎么实现的微软没公开，大体逆了一下

能实现基本的信息获取区段信息数据目录信息导入表函数分析导出表函数分析，能同时解析只序号导出和以函数名序号同时导出的函数FLC计算需要源码的可以留邮箱。

很早以前就拜读了A1Pass得手工构造PE文件一文，可是一直没有去动手实践下，寒假本来想写个PE分析工具结果愣是发现自己PE结构都忘得毛都没了。。。so 蛋疼今天就参考该文来自己手动构造一个。这里先提个问题，WinMain函数是符合_stdcall调用约定的，我们都知道winmain接收四个参数，这四个参数的堆栈是有谁来清理呢？理论上应该是系统吧，但是调试程序最后总会发现个0040

组成：1.引导程序：由vc6 win32 dll工程 2.主程序：MFC工程引导程序与主程序一起开发，使用时引导程序作为资源放到主程序中。主程序执行流程：1. 载入待加壳程序与引导程序，保存待加壳程序入口点与基址。LPEFile m_lpeFile,m_lpeStup; if (!LoadPE(&m_lpeFile,&m_lpeStup)) {