loufand的博客

PE: protable execute;任何文件在注册表中都会有一个对应的阅读器 阅读器完成对文件内容的解析 windows pe 加载器用来解析pe文件；开头 IMAGE_DOS_HEADER +3CH 指向pe头IMAGE_NT_HEADERS(PE头)pe文件被加载后，文件读到内存中，基址指的是pe文件被读取到内存中时的 输入表 指示当前pe文件所使用的外部API或函数 RVA

构建DLL入口函数BOOL WINAPI DllMain(HANDLE hDllHandle,DWORD dwReason, ) { HMODULE hModule=(HMODULE)hDllHandle;//本模块加载到内存中时的基址 switch(dwReason) { case DLL_PROCESSS_ATTACH;//进程加载 /

常用指令 mov 目标操作数，源操作数 mov eax,0x0 进行数据传递movzx mov zero x 以0填充高位，用法同上，pushpoppushad 所有寄存器压栈（8个） popad 所有寄存器出栈（8个）lea 取地址指令，类似C语言中的&call 调用函数指令add + 加 sub - 减指令 mul * 乘法 div / 除法 inc a++ de