知其所以然

PE Header 是PE相关结构NT映像头（IMAGE_NT_HEADER）的简称。里面包含了许多PE装载器用到的重要字段。     先看看该结构体：typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION

输入表结构 回顾一下，在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。而输入表是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。在这个 IID数组中，并没有指出

有一些函数很多程序都会用到，为每一个程序写一个相同的函数看起来似乎有点浪费空间。因此Windows就整出了动态链接库的概念，将一些常用的函数封装成动态链接库，等到需要的时候通过直接加载动态链接库。将需要的函数整合到自身中，这样就大大的节约了内存中资源的存放。 如图：PE格式详细讲解 有一个重要的概念需要记住：动态链接库是被映射到其

先来看看PE文件框架结构，多看几遍，就不陌生啦    按照进度，今天该学习块表啦。   PE文件到内存的映射。          在执行一个PE文件的时候，Windows并不是在一开始就将整个文件读入内存，而是采用域内存映射文件机制类似的机制。          换而言之，Windows加载器在装载的时候，仅仅是建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个

趁热打铁，今天开始对块的学习。     块最重要的结构体是：_IMAGE_SECTION_HEADER 。       PE文件中所有节的属性都被定义在节表中，节表由一系列的IMAGE_SECTION_HEADER结构排列而成，每个结构用来描述一个节，结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。节表总是被存放在紧接在PE文件头的地方；节表中IMAGE_SECTION_HEA

这一节对于讲来研究病毒原理的研究影响比较大，大家务必要深入理解~但是吧，咱的权威教材看雪的《加密与解密》在这一节的讲解上实在不给力，很多初学者看得云里雾里的。大家意见一致啵 ?!为了让大家能够更容易的接受，小甲鱼决定通过自问 – 自答循环渐进的模式给大家讲解基址重定位的原理和应用。 问题一：什么是基址重定位? 答：重定位就是你本来这个程序理论

通常，区块中的数据在逻辑上是关联的。PE 文件一般至少都会有两个区块：一个是代码块，另一个是数据块。每一个区块都需要有一个截然不同的名字，这个名字主要是用来表达区块的用途。例如有一个区块叫.rdata，表明他是一个只读区块。注意：区块在映像中是按起始地址（RVA）来排列的，而不是按字母表顺序。另外，使用区块名字只是人们为了认识和编程的方便，而对操作系统来说这些是无关紧要的。微软给这些区块取

1, PE文件头（PE Header ） 紧挨着 DOS stub    2,  PE Header 是PE相关结构NT映像头（IMAGE_NT_HEADER）的简称。里面包含着许多PE装载器用到的重要字段。    3，执行体在支持PE文件结构的操作系统中执行时，PE装载器将从 IMAGE_DOS_HEADER 结构中的 e_lfanew 字段里找到PE Header的其实偏移量，加上基地

MS-DOS头   1，每个PE文件是以一个DOS程序开始的，有了它，一旦程序在DOS下执行，DOS才能识别出这是有效的执行体。   2，PE文件的第一个字节起始于一个传统的MS-DOS头部，被称作为IMAGE_DOS_HEADER。   3，IMAGE_DOS_HEADER 结构如下。typedef struct _IMAGE_DOS_HEADER { // DOS .

文章出处：http://blog.fishc.com/749.html认识OD的两种断点 OllyDBG从原理上来区分，有两种不同的断点：软件断点和硬件断点。也许会有朋友说那不是还有内存断点吗？内存断点严格来说是属于一种特殊的软件断点。 内存断点：内存断点每次只能设置一个，假如你设置了另一个内存断点，则上一个会被自