摘要：1、OD 加载exe --> 运行到用户代码，断下之后 --> 堆栈窗口 ESP 右击 数据窗口中跟随 --> 将数据窗口的下拉框拉到最下面 (或者直接看堆栈窗口) 如下图： ZC: 此图效果为 XPsp3中的效果，有如下信息： (1)、此时的 ESP值为 0012FFC4，其值 正好就是 调用ke 阅读全文

摘要：ZC: 主要是 非代码的 分析结构 1、 1.1、DosHeader: PE从偏移0开始就是 1.2、NtHeader: 位于 紧接着DosHeader的后面(具体位置为: DosHeader的偏移[0] + DosHeader.e_lfanew) 1.2.1、NtFileHeader: NtHea 阅读全文