今天先说说

    C32asm。是个静态分析的好工具。可以用来研究pe格式,研究资源。修改资源等等。

    Ctrl+O打开一个exe文件

    ctrl+H 切换为hex模式。

    ctrl+W切换为汇编模式。就是直接将 4d 5a 开头的文件 直接翻译成汇编代码了。

    ctrl+F搜索内容,可以用unicode  直接输入要查找的字符和汉字。

    

    

   各个exe,dll文件的前64个字节几乎都是一样的,都是

            

          选中前四行,在最下方状态栏就显示了我们一共选中了64个字节。起始位置和结束位置。

    我们将最后四个字节倒着念,就是00 00 01 00.这是一个DOWRD值。32位的,代表PE头的真正位置。

    于是我们来到00 00 01 00处,

            

            我们选中的阴影部分是4+20+224个字节。

            50 45 00 00占4个字节

            _FLIE_HEADER占了20个字节

            _OPTIONAL_HEADER 占去224个字节。

            再下面是各个节的信息,如CODE。。。。。

            DATA。。。。。。,每个节占两行半,也就是40个字节。

            _FLIE_HEADER

           

             4c 01 机器数

             00 08 是节的数目

             2a 42 5e 19 是时间戳  倒着念

             最后两个是 81 8f  代表文件的属性。

             _OPTIONAL_HEADER

             

          前2个字节是魔法数 若是 01 0b  就代表是exe 文件

          size of code  是  第5到8个字节。00 00 94 00 个字节

          在魔法数的正下方,是00 00 9b 80  四个字节。是

      Address of EntryPoint。整整相差16个字节,也就是一行。