Crystal_Atom

刚开始探入逆向的大门，很多知识不理解，如果哪里有问题，请大牛指点。根据朋友的建议，我逆向学习是采用的‘李程远的《逆向工程核心原理》’一书，这本书是针对初学者而写的，而且书中提供了很多实际调试过程的截图、源代码、示例文件等，能够帮助更好的理解。  本书中作者提供了源代码，由Visual Studio 2010开发而成的。* 下载地址 :http://download.youkuaiyun.com

PE头由许多结构体组成，接下来分别解释一下各部分。1.DOS头   微软最初创建PE格式的时候，DOS文件被人们广泛的使用，为了实现PE文件对DOS文件的兼容性。结果是在PE头的最前面添加了一个IMAGE_DOS_HEADER结构体，用来扩展已有的DOS EXE头。代码IMAGE_DOS_HEADER结构体typedef strucet _IMAGE_DOS_HEA

1.NT头接下来说一下NT头，IMAGE_NT_HEADERS。代码 IMAGE_NT_HEADERS结构体typedef struct _IMAGE_NT_HEADERS{    DWORD Signature;                //PE Signature :  50450000 ("PE"00)    IMAGE_FILE_HEADER

1.节区头    节区头中定义了各节区的属性。PE文件中的code（代码）、data（数据）、resource（资源）等按照属性分类存储在不同节区，这样可以保证程序的安全性。    IMAGE_SECTION_HEADER    节区头是由IMAGE_SECTION_HEADER结构体构成的数组，每个结构体对应一个节区。代码     IMAGE_SECTION_HEADER

1.RVA to RAW    PE文件加载到内存时，每个节区都要准确完成内存地址与文件偏移的映射。这种映射便称为RVA to RAW，实现这个过程需要经过以下的步骤。        1.查找RVA所在节区。        2.使用公式计算出文件偏移。        根据IMAGE_SECTION_HEADER结构体，换算公式如下。        RAW - PoniterTo

0.介绍   PE是Windows操作系统性爱使用的可执行文件格式。它是微软在UNIX平台的COFF（Common Object File Format,通用对象格式）基础上而成的（在Windows开发环境中，PE格式也称为PE/COFF格式。）。最初（正如Portable这个单词所代表的那样）设计用来提高程序在不同操作系统上的移植性，但实际上这种文件格式仅使用在Windows系列的操