随笔分类 -  逆向

摘要：0X0 EAT表 在windows系统中，“库”是为了方便其他程序调用而集中包含相关的函数的文件(dll,sys).win32 API是最具有代表性的库。 EAT是一种核心机制，它使不同的应用程序可以调用库文件中提供的函数。也就是说，只有通过EAT表才能准确的求得从相应的库中导出函数的起始地址。 P 阅读全文

摘要：0X0 0 DLL介绍 DLL翻译器为动态链接库，原来不存在DLL的概念只有，库的概念，编译器会把从库中获取的二进制代码插入到应用程序中。在现在windows操作系统使用了数量庞大的库函数(进程，内存，窗口，消息)采用这种包含库的方式，会造成内存严重的浪费。因此，windows OS 设计者根据需要 阅读全文

摘要：PE头 PE头由许多结构体组成,现在开始逐一学习各结构体 0X00 DOS头 微软创建PE文件格式时，人们正广泛使用DOS文件，所以微软充分考虑了PE文件对DOS文件的兼容性。其结果是在PE头的最前面添加一个 IMAGE_DOS_HEADER 结构体用来扩展DOSEXE头 IMAGE_DOS_HEA 阅读全文

摘要：PE文件介绍 PE文件主要是windows操作系统下使用的可执行文件格式，PE文件是指32位的可执行文件也叫做PE32，64位可执行文件叫做PE+或者PE32+ PE文件格式 |种类|主扩展名| | | | |可执行类型|EXE,SCR| |驱动程序类型|SYS,VXD| |库系列|DLL,OCX, 阅读全文