[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
http://www.pediy.com/tutorial/chap8/Chap8-1-1.htm以上就是PE文件格式的物理分布,下面将总结一下装载一PE文件的主要步骤:当PE文件被执行,PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到,则跳转到 PE header。 PE装载器检查 PE header 的有效性。如果有效,就跳转到PE header的尾部。 紧跟 PE header 的是节表。PE装载器读取其中的节信息,并采用文件映射方法将这些节映射到内存,同时付上节表里指定的节属性。 PE文件映射入内存后,PE装载器将处理PE文件中类似 import table(引入表)逻辑部分。
http://www.pediy.com/tutorial/chap8/Chap8-1-6.htm当PE装载器装入PE文件时,检查引入表并将相关DLLs映射到进程地址空间。
http://bbs.pediy.com/showthread.php?s=&threadid=17828把控制权交给TLS表,然后是EP,程序退出之后控制权再次回到TLS表,释放所有DLL。