[PE]格式的问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
regnem 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 75 粉丝 0 关注私信	regnem 2 楼对了。再补充一下，我新增一个节后，直接把那个others头后移就行了吧。 2010-3-25 23:34 0
skypismire 雪币： 75 活跃值： (623) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 3 楼上个链接瞅瞅，见识见识 2010-3-25 23:58 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 4 楼没看明白您说的啥~~ 给你一个我之前写过的半成品模仿PELord 写的很烂~ 一直没时间写了上传的附件： Analyse PE.rar （233.92kb，3次下载） 2010-3-26 08:56 0
ryanxgyang 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	ryanxgyang 5 楼 others头? 你说的是额外数据么? 2010-3-26 09:36 0
boycoder 雪币： 594 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	boycoder 6 楼去 Platform SDK\Include\WinNT.h 找: IMAGE_DOS_HEADER IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER32 IMAGE_OPTIONAL_HEADER64 IMAGE_NT_HEADERS32 IMAGE_NT_HEADERS64 .. .. 你所需要的知料都在里面! 你也可以在微软的网站下载 PE-COFF 的文件: http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx 2010-3-26 09:48 0
LeoF 雪币： 249 活跃值： (25) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 95 粉丝 0 关注私信	LeoF 1 7 楼应该说的是额外数据吧，但是也没有头来说明额外数据呀~不像段表来表示段的位置大小信息。LZ上传个文件看看吧~~other头？没听说过 2010-3-26 09:57 0
regnem 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 75 粉丝 0 关注私信	regnem 8 楼呵呵。知道结果了。。。qq除了section节以外，后面还有些数据，是不映射到内存的。。我觉得可能是check PE文件是否被修改用的。你们打开qq。exe，用Hex文本编辑器看，后面有些数据。 2010-3-27 23:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
regnem 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 75 粉丝 0 关注私信	regnem 2 楼对了。再补充一下，我新增一个节后，直接把那个others头后移就行了吧。 2010-3-25 23:34 0
skypismire 雪币： 75 活跃值： (623) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 3 楼上个链接瞅瞅，见识见识 2010-3-25 23:58 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 4 楼没看明白您说的啥~~ 给你一个我之前写过的半成品模仿PELord 写的很烂~ 一直没时间写了上传的附件： Analyse PE.rar （233.92kb，3次下载） 2010-3-26 08:56 0
ryanxgyang 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	ryanxgyang 5 楼 others头? 你说的是额外数据么? 2010-3-26 09:36 0
boycoder 雪币： 594 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	boycoder 6 楼去 Platform SDK\Include\WinNT.h 找: IMAGE_DOS_HEADER IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER32 IMAGE_OPTIONAL_HEADER64 IMAGE_NT_HEADERS32 IMAGE_NT_HEADERS64 .. .. 你所需要的知料都在里面! 你也可以在微软的网站下载 PE-COFF 的文件: http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx 2010-3-26 09:48 0
LeoF 雪币： 249 活跃值： (25) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 95 粉丝 0 关注私信	LeoF 1 7 楼应该说的是额外数据吧，但是也没有头来说明额外数据呀~不像段表来表示段的位置大小信息。LZ上传个文件看看吧~~other头？没听说过 2010-3-26 09:57 0
regnem 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 75 粉丝 0 关注私信	regnem 8 楼呵呵。知道结果了。。。qq除了section节以外，后面还有些数据，是不映射到内存的。。我觉得可能是check PE文件是否被修改用的。你们打开qq。exe，用Hex文本编辑器看，后面有些数据。 2010-3-27 23:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复