最近在学习PE结构，网上找到滴水第三期中关于PE的讲解，视频中是用impsg做的讲解，用那个实现起来比较简单，因为impsg文件对齐和内存对齐粒度一样，所以不需要考虑文件对齐和内存对齐，为了加深自己对PE文件的理解，事后我用notepad做实验时候总是出错，主要原因是notepad文件对齐和内存粒度不同导致FOA与RAW转换出错，最后将过程记录下来。文中难免有差错，请指正。

在此之前需要对Windows PE结构有个基本的了解。

方法①：

方法②： 用OllyDBG加载notepad，左下角command框中输入bp MessageBoxA下断点。查看断点即可得MessageBox地址为：0x77D507EA

main函数反汇编：

得到CALL的硬编码是E8，
call func继续跟进去：

得到JMP的硬编码是E9，
func函数反汇编：

观察到：

E8后边的值并不是真正我们要调用的函数地址， 他们有以下关系：

总结出：

通过之前的学习，可以构造出：

                                                                                 图1

                                                                                图2  

从图2中可以得到以下信息：

计算文件中代码区空闲空间

SizeOfRawData(0x7800) - VirtualSize(0x007748) >  0x12

空闲空间大于shellcode长度，可以放得下。


PointerToRawData(0x0400)+SizeOfRawData(0x7800)=0x7C00,

在0x7B48与0x7C00之间写入shellcode：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课