零点起步

第四章：导入表windos加载器会一并加载导入表中的dll，并修改相应指令调用的函数地址。IMAGE_NT_HEADERS STRUCT{ Signature DWORD ? FileHeader IMAGE_FILE_HEADER  OptionalHeader IMAGE_OPTIONAL_HEADER32 }IMAGE_NT_HEADERS ENDSIMAGE_O

第七章：资源表call 0xXXXXXXXX   ;//push 后面的返回地址  再 jump 0xXXXXXXXXjump后面跟的是偏移量jump AA: EB 02 nop nopAA: jump AA: //EB FE   -2 因为本指令使EIP加2了IMAGE_RESOURCE_DIRECTORY STRUCT{ Characteristics dd

kernel32.dll默认很早加载进去，其中有函数用于加载进程，否则进程创建不出。获取kernel32.dll的基地址：1.使用vs cmd自带的dumpbin工具：dumpbin /headers kernel32.dll 还有PEinfo,onlydbg XP OS下ntdll.dll,kernel32.dll不会被重定位。2.从进程地址空间开始搜索 寻找PE特征字符

第十章：加载配置信息加载配置信息表最初是用来存放附加信息，后来用来存放SEH各种导演句柄变成“异常处理表”异常与中断类似，中断有点外部（键盘）发出，异常由软件，异常发生时跑到异常处理函数，这个函数存放在中断描述符表（IDT）的数据结构中。异常：硬异常（系统异常）和软异常（程序自己抛出的异常）;------------------------; 测试异常处理; 戚利;

Windows系统下的可执行文件，是基于Microsoft设计的一种新的文件结构，此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体)，所有Win32执行体都是用PE文件格式，其中包括SYS、DLL、EXE、COM、OCX等。不管是学习逆向、破解还是安全，了解PE文件格式都是非常必要的。PE文件的第一个部分是IMAGE_DOS_HEADER，大小为6

第六章 栈与重定位表16bit OS 存在长调用 lcall push cs,ip    相应的iret pop ip, cs  而call/ret only focus ip register32bit OS 因为32寄存器可以访问4G空间，可以长短调用被忽略，只关注eip实模式：段地址+程序偏移地址  SS::SP= SS保护模式：段选择子+程序偏移地址 原来的段寄存器称为段选

第五章 导出表typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature +04h IMAGE_FILE_HEADER FileHeader +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader } IMAGE_NT_HEADERS ENDS, *PIMAGE_NT_HEADERS32;

第三章：PE文件头PE中涉及的地址有四类，它们分别为：虚拟内存地址（VA）相对虚拟内存地址(RVA)文件偏移地址(FOA)特殊地址 没有物理内存对应的页面被标记为dirty的页面，一般存储在一个名为“交换文件”的磁盘文件中。在WINDOWS XP系统中，交换文件为pagefile.sys 进程本身的VA被解释为：进程的基地址+相对虚拟内存地址 RVA是相对基地址的偏

第一章：windows PE 开发环境MASM32 ml.exe汇编编译器 rc.exe资源编译器 link.exe安装masm32到d:\masm32增加环境变量用户变量include=d:\masm32\include;lib=d:\masm32\lib;path=d:\masm32\bin;修改文件字节码：HEX数据  edit -> copy to excu

第九章：线程局部存储PEB,在NT中，该结构可以从进程空间的FS:[0x30]处找到,PEB描述的信息主要包括：进程状态、进程堆、PE映像信息等，其中Ldr记录了进程加载进内存的所有模块的基地址。TLS技术：动态线程局部存储技术、静态线程局部存储技术OS动态申请通过四个API，静态则通过预先在PE文件中声明数据存储空间。TlsAlloc函数一旦得到一个可用的索引值后，还会遍历进