不知道诸位看官是否有过这样的经历：在不经意之间发现一个DLL文件，它里边有不少有趣的导出函数——但是由于你不知道如何调用这些函数，所以只能大发感慨而又无能为力焉。固然有些知名的DLL可以直接通过搜索引擎来找到它的使用方式（比如本文中的例子ipsearcher.dll），不过我们诚然不能希望自己总能交到这样的好运。所以在本文中，李马希望通过自己文理不甚通达的讲解能够给大家以授人以渔的效果。先决条

文章作者：混世魔王 QQ26836659信息来源：邪恶八进制信息安全团队（www.eviloctal.com）【申明】我很菜.写的不好，别骂我。文中有错，还请指教。有不足，望补充.谢谢【作者】混世魔王 [Cai Niao] QQ：26836659【使用工具】 OD .PEID.GetVBRes.VBExplorer【破解平台】2000 server【软件名称】 未知【申明】我很菜.写的不好，别骂我

其实这个程序是在刚开始接触PE文件时写的了，当时只是想加深对PE文件的认识。也在去年放到这里来了，后来在整理页面时，被删了。今天把它再渡搬上来，只是想把它跟后面的几个文章形成一个系列。    以下代码是以控制台程序方式写的，主要是取出PE文件中的各节的基本信息、导入表信息和导出表信息，对于资源和重定位信息不具有提取能力。    注：这里说的静态PE文件是指通过内存映射这类形式加载到内存中的

在用OllyDbg对程序反汇编的时候，经常会看到call指令后直接跟有API名字。比如用OllyDbg反汇编xdos.exe程序，机器码FF1578604000 被翻译成了        call dword ptr ds：[]即表示这条指令是在调用kernel32.dll中的GetVersion函数，其实FF1578604000 更加贴近硬件的翻译是       call dword

x86体系结构CPU的每条指令都可能由以下六个域组成，并且它们在指令中的排列顺序是不能改变的。         这六个域分别是：                  prefixes                  code                  ModR/M                  SIB                  displacement