Ildasm.exe 微软的IL反编译实用程序——Ildasm.exe，可以对可执行文件（ex，经典的控制台Hello World 的 exe 可执行文件）抽取出 IL 代码，并且给出命名空间以及类的视图。在讲述如何反编…

在学习完整个PE头结构的情况下，在翻处之前的一些PE工具。很多东西都知道代表什么意思了 万变不离其宗，在我们理解PE的原理之后，使用前人的工具，将让我们干起活来事半功倍。 以下列举工具只是部分本人以前收集的。 eXeSc…

这章是PE原理的最后一章，网上也比较少有这章的总结 章节开篇介绍了windows虚拟地址空间分配 一般情况下，32位的机器上，地址空间从0x000000~0xFFFFFFFF,总大小为4GB。一般而言，虚拟地址空间分为两…

加载配置信息最初最用在Windows NT操作系统中，作为文件头部的延伸部分，后来被用作异常处理。加载配置信息表中存放了基于结构化异常处理（SEH）技术的各项异常句柄。当程序运行发生异常后，操作系统会根据异常处理类别对异…

因为书中讲的太过抽象，并且我对msan32编程没有兴趣 把书啃一遍，然后跟网上的技术文章分析比较容易理解消化 什么是线程局部存储？ 线程局部存储（Thread Local Storage,TLS）很好的解决了多线程设计中…

延迟加载导入表是PE中引入的专门用来描述与动态链接库延迟加载相关的数据，因为这些数据所引起的作用和结构与导入表数据基本一致，所以称为延迟加载导入表。 延迟加载导入表和导入表是相互分离的。一个PE文件中可以同时存在这两种数…

熟悉Windows管理文件的 1.windows管理文件方法 树形结构 可以看出结构 根目录 子目录 文件.xxx 子目录 子目录 (子目录里面还可以有文件夹) ….. 那么我们的资源也是这样存储的. &nb…

什么是重定位： 重定位就是你本来这个程序理论上要占据这个地址，但是由于某种原因，这个地址现在不能让你占用，你必须转移到别的地址，这就需要基址重定位。你可能会问，不是说过每个进程都有自己独立的虚拟地址空间吗？既然都是自己的…

导出表的定义 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion;…

32位PE结构 32位PE结构 DOS MZ头 DOS Stub PE头绝对位置计算 PE头标识signature 标准PE头IMAGE_FILE_HEADER 扩展PE头IMA…