zhyulo的博客

一、概述之前反编译了iReader阅读的app，通过研读源码，获得了包括EBK2格式在内的文件格式。本文就EBK2的格式，将进行详细的分析。感谢荒野无灯大神的《 逆向iReader解读ebk2电子书格式 》，为我EBK2格式分析提供了巨大的帮助。二、文件头部分文件头结构如下：struct Ebk2Head{ DWORD bookid; WORD headDataSize;// ebk2文件头部信息数据总大小 WORD ebkVersion; // ebk文

一、概述 想要获取一个可执行文件(PE文件)里包含的资源文件，首先要解析可执行文件，得到资源存储的地址及大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711。然后，根据资源存储方式，得到各资源的数据内容及其大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...

一、概述 想要获取一个可执行文件(PE文件)里包含的资源文件，首先要解析可执行文件，得到资源存储的地址及大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711。然后，根据资源存储方式，得到各资源的数据内容及其大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...

一、概述    想要获取一个可执行文件(PE文件)里包含的资源文件，首先要解析可执行文件，得到资源存储的地址及大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后，根据资源存储方式，得到各资源的数据内容及其大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...

一、概述    想要获取一个可执行文件(PE文件)里包含的资源文件，首先要解析可执行文件，得到资源存储的地址及大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后，根据资源存储方式，得到各资源的数据内容及其大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...

一、概述    想要获取一个可执行文件(PE文件)里包含的资源文件，首先要解析可执行文件，得到资源存储的地址及大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后，根据资源存储方式，得到各资源的数据内容及其大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...

一、概述    想要获取一个可执行文件(PE文件)里包含的资源文件，首先要解析可执行文件，得到资源存储的地址及大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后，根据资源存储方式，得到各资源的数据内容及其大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...

一、概述    想要获取一个可执行文件(PE文件)里包含的资源文件，首先要解析可执行文件，得到资源存储的地址及大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后，根据资源存储方式，得到各资源的数据内容及其大小，可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...

一、位图(bmp)1.位图简介    BMP（全称Bitmap）是Windows操作系统中的标准图像文件格式，可以分成两类：设备相关位图（DDB）和设备无关位图（DIB），使用非常广。它采用位映射存储格式，除了图像深度可选以外，不采用其他任何压缩，因此，BMP文件所占用的空间很大。BMP文件的图像深度可选lbit、4bit、8bit及24bit。BMP文件存储数据时，图像的扫描方式是按从左...

一、位置    PE文件头可选映像头中数据目录表的第3成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]指向映像调试信息，它保存在PE文件中，通常在".rsrc"区段。二、资源简介    程序内部和外部的界面等元素的二进制数据统称为资源，程序把它们放在一个特定的表中，符合数据和程序分离的设计原则。资源...

一、加载配置表1.位置与简介    载入配置表早期是用于描述当PE文件头或PE可选头无法描述或者因为太大而无法描述的各种功能。    后来以XP及以后的系统主要是为了存储SEH句柄，称为安全结构化异常处理程序列表，如果SEH异常处理没有经过注册，在载入配置表中没有句柄，这个异常处理就不会被执行。    据微软官方说明，这个载入配置表的作用是为了防止“x86异常处理程序劫持”的漏洞。因为...

一、全局指针表    PE文件头可选映像头中数据目录表的第9成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_GLOBALPTR]指向全局指针。    在x86与x64系列平台没有使用全局指针表，目前只应用于MIPS等平台上，多用于参数传递。二、线程局部存储（TLS）1.位置与简介    PE文件头可选映像头中...

一、映像调试信息    PE文件头可选映像头中数据目录表的第7成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG]指向映像调试信息，它保存在PE文件中，通常在".debug"区段。  映像调试信息是一个IMAGE_DEBUG_DIRECTORY结构体数组，该结构体定义如下：typedef struct _I...

一、异常处理表1.位置及概述    PE文件头可选映像头中数据目录表的第4成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION]指向异常处理表，它保存在PE文件中，通常在".pdata"区段。    x86系统采用动态的方式构建SEH结构，相比而言x64系统下采用静态的方式处理SEH结构。2.异常处...

一、 输入表1、输入表地址定位   PE文件头可选映像头中数据目录表的第二成员指向输入表，输入表以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始，每个被PE文件隐式地链接进来的DLL都有一个IID，在这个数组中没有字段指出该结构数组的项数，但他最后一个单元是NULL。    数据目录表的第二成员 IMAGE_DATA_DIRECTORY DataDirectory[IM...

一、PE的基本概念    PE（Portable Execute）文件是Windows下可执行文件的总称，常见的有DLL，EXE，OCX，SYS等，事实上，一个文件是否是PE文件与其扩展名无关，PE文件可以是任何扩展名。    认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器（又称PE加载器）遍历PE文件并决定文件的哪一部分被映射，这种映射方式是将文件较高的偏移...