摘要：紧接着IMAGE_FILE_HEADER结构的是IMAGE_OPTIONAL_HEADER32结构，这个结构称为可选头， 其中定义了很多重要的信息，可选头的结构如下所示：[代码]这个结构中重要的元素有如下几个：AddressOfEntryPoint：指出了可执行代码入口点在内存中的偏移（RVA），这个偏移是相对文件本装入内存以后此入口点相对文件头的偏移，由于PE文件在磁盘中和在内存中的对齐粒度不一... 阅读全文

摘要：上一篇讲到PE load程序已经找到了PE文件头，PE文件头的定义如下所示：[代码]Signature为PE文件标识，其值始终为00004550h，查ASCII表可以知道45h代表字符E，50h代表字符P。紧接着PE文件标识的是IMAGE_FILE_HEADER结构，这是一个20个字节的结构，其定义如下：[代码]各个字段的意义如注释所示，其中元素SizeOfOptionalHeader的值始终为e... 阅读全文

摘要：Windows下的可执行文件为PE（Portable Executable File Format/可移植的执行体）格式，文件的组织形式还是比较复杂的，花了大概一个星期的时间终于稍微弄懂了PE文件的装载过程。PE文件最开始的部分称为DOS头，存在的作用是为了兼容DOS下的可执行程序，DOS头的结构如下：[代码]可以看到，这个结构总共占用的空间为32个WORD，64个字节，64×8个bit... 阅读全文

摘要：看雪上下载了一个针对初学者的crackme，要求是写出注册机，不过汇编暂时看不太明白，还需要再努力啊！所以直接给爆破了，注册机以后长进了再写了。过程如下：1. 开OD，载入程序，停在这个位置2.按F9让程序运行，随便输入一些注册信息，然后看会有什么情况3.最简单的方法是通过查找字符串确定关键跳转点，对于这个crackme，关键的字符串是“Registration fail.”... 阅读全文

摘要：人生中第一篇博客献给博客园。一直以来都是从博客园索取，现在轮到付出的时候了，所以给自己定下一个目标，每周至少两篇！一定要做到 阅读全文