最近一段时间在看海东老师得视频 学习逆向知识,在这里不得不说海东老师真是无敌,深入浅出讲得非常清楚;
总结一下自己最近得进展
1.PE结构1.DOS头- 主要关注点 48字节 MZ标志 PE标记偏移地址
2.NT头- 包含 PE头,可选PE头,节表
(1)PE头-关注点 20个字节 可选PE头得大小(SizeOfOptionalHeader)
(2)可选PE头-关注点 有点多????
1.各种表(可选PE中记录了各种表得内存地址(注意对齐方式))
重点关注 导出表 {导入表(IAT)关系 密切} 重定向表 现在只学了这几个
其中导出表相对简单 导出表中关注点 - 以名字导出得函数个数,全部导出得函数个数,函数地址表,函数序号表,函数名字表
阿西吧 表-表-表 要死了
写不下去了 下次再说
再写一点 加油
重定向表得原因:我们在编译程序时 程序中得一些数据得地址是写死得,即不是相对偏移得地址,那么在加载程序时,在内存中可能这个地址被占用了 这个时候就是重定向表 表现得时候了 。
导入表 :涉及dll得加载过程,像系统得一些表一般为7开头 加载dll时也可能会发生需要加载区域得占用问题
但是这点需要说明的时 重定向表 IAT表 不同 一个时内部的内存加载占用 一个是外部程序的加载占用
