摘要：对象是引用计数的——只有当对象的最后一个引用被释放之后，对象才会被销毁并从内存中释放。 对象不能被用户模式直接访问，用户模式通过一种间接的访问模式，这种机制被称为句柄，句柄是指向一个表格的入口索引。该表格在进程的基础上维护，逻辑上指向驻留在系统空间的一个内核对象。有各种函数用来打开，创建对象，并返回 阅读全文

摘要：1.SafeSEH机制 （1）编译器的工作 如果编译时打开这个开关，那么编译器就会在PE头的DllCharacteristics中加入一个标志，并在编译阶段提取所有异常处理程序的相对虚拟地址（RVA ),并将它放置在一个表中。这个表的位置是由PE头部的IMAGE_OPTIONAL_HEADER结构中 阅读全文

摘要：PE头的顺序为： dos头，pe标识符，文件头，可选头，节表 1.首先来构造IMAGE_DOS_HEADER结构 该结构的大小为40h字节 在IMAGE_DOS_HEADER结构中最关键的字段只有两个，就是第一个表示MZ标识头和最后一个指向PE标识符的偏移。 第一个字段占两个字节,最后一个字段占4个 阅读全文

摘要：PE文件的框架结构 PE的基本概念: pe文件使用的是一个平面地址空间,所有代码和数据合并在一起,组成了一个很大的结构.文件的内容被分割为不同的区块(Section,又称区段,节等,)区块中包含代码或数据,各个区块按页边界对齐.区块没有大小限制,是一个连续结构.每个块都有它自己在内存中的一套属性,例 阅读全文