[讨论]正在研究PE结构，欢迎大家讨论。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]正在研究PE结构，欢迎大家讨论。

发表于: 2007-10-20 08:49 9501

[讨论]正在研究PE结构，欢迎大家讨论。

menting

2007-10-20 08:49

9501

本想跟在那个贴后面的，也许，我想没人会理了。就新开了一个贴！如果有什么不当的地方，就别在意了。。。。。。。。

正好我也在研究PE结构，我把我的看发贴出来，顺便请把你的问题再解释的清楚点。

我专门找了点专业点的：
typedef struct _IMAGE_FILE_HEADER {
WORD Machine;
WORD NumberOfSections;
DWORD TimeDateStamp;
DWORD PointerToSymbolTable;
DWORD NumberOfSymbols;
WORD SizeOfOptionalHeader;
WORD Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

这个结构就是MS的定义，它的意思是文件头，MS在NT头是分了三部分的。
下面是属性头，根据MS的结构来看我们知道的不很清楚了，我想kmyc朋友是NumberOfRvaAndSizes
对这个的怀疑？？我记得，从我研究PE结构开始它的值好象一直为0x10字节。如果这个可再大点，我就不知道了，再小点我想是不可能的了。看我后面的解释！
typedef struct _IMAGE_OPTIONAL_HEADER {
//
// Standard fields.
//

WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;
DWORD SizeOfInitializedData;
DWORD SizeOfUninitializedData;
DWORD AddressOfEntryPoint;
DWORD BaseOfCode;
DWORD BaseOfData;

//
// NT additional fields.
//

DWORD ImageBase;
DWORD SectionAlignment;
DWORD FileAlignment;
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;
DWORD SizeOfHeaders;
DWORD CheckSum;
WORD Subsystem;
WORD DllCharacteristics;
DWORD SizeOfStackReserve;
DWORD SizeOfStackCommit;
DWORD SizeOfHeapReserve;
DWORD SizeOfHeapCommit;
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

根据MS的结构定义很难看出来PE头和文件的联系：

//-----------------------------------------------------------------------------------------

//下面是我自己写的PE头结构,我就不明白了,我这个结构是F8字节,后面紧跟的就是区段列表了.
//实际我以前的读PE头很简单,三次ReadFile就能搞定了,我知道的PE结构内部里,这些项目都是基本具备的
//如果真要说那个一项没有也可以,我就郁闷了,也许我学的还不好要继续修行了.
//也许楼主说的不明白我也看了好几遍没能觉得楼主说的是什么???
//我们可以肯定的是,NT头大小是F8字节,如果有朋友想知道为什么?那就可以算,DWORD是4字节,WORD是2字节,BYTE是1个字节
//而我也可以肯定的说,从_38NumberOfRvaAndSizes这个之后确实是0x80字节.至少,我的程序都是这样的,感觉MS的结构不清楚,
//所以,自己写了个.但是我这样写也没出什么错误.

struct _DLLHEADINFO_PESIG{

DWORD          _01PESignature;          // (PE)50450000
WORD          _02Machine ;          //= IMAGE_FILE_MACHINE_I386
WORD          _03NumberOfSections;       // = 5
DWORD          _04TimeDateStamp ;       // = 46AD3FF8
DWORD          _05PointerToSymbolTable; // = 0
DWORD          _06NumberOfSymbols ;       //= 0
WORD          _07SizeOfOptionalHeader; // = E0 (224.)
WORD          _08Characteristics ;       //=

DLL|EXECUTABLE_IMAGE|32BIT_MACHINE|LINE_NUMS_STRIPPED|LOCAL_SYMS_STRIPPED
WORD          _09MagicNumber    ;       //= PE32
BYTE          _10MajorLinkerVersion;    //= 6
BYTE          _11MinorLinkerVersion;    // = 0
DWORD          _12SizeOfCode       ;    // = D000 (53248.)
DWORD          _13SizeOfInitializedData  ; //= D000 (53248.)
DWORD          _14SizeOfUninitializedData; // = 0
DWORD          _15AddressOfEntryPoint ; //= 54C1
DWORD          _16BaseOfCode    ;       //= 1000
DWORD          _17BaseOfData    ;       //= E000
DWORD          _18ImageBase    ;       //= 10000000
DWORD          _19SectionAlignment;       // = 1000
DWORD          _20FileAlignment ;       //= 1000
WORD          _21MajorOSVersion  ;       //= 4
WORD          _22MinorOSVersion  ;       //= 0
WORD          _23MajorImageVersion;    // = 0
WORD          _24MinorImageVersion;    // = 0
WORD          _25MajorSubsystemVersion; // = 4
WORD          _26MinorSubsystemVersion; // = 0
DWORD          _27Reserved          ;
DWORD          _28SizeOfImage ;       //= 1B000 (110592.)
DWORD          _29SizeOfHeaders ;       //= 1000 (4096.)
DWORD          _30CheckSum    ;       // = 0
WORD          _31Subsystem    ;       //= IMAGE_SUBSYSTEM_WINDOWS_GUI
WORD          _32DLLCharacteristics;    // = 0
DWORD          _33SizeOfStackReserve;    //= 100000 (1048576.)
DWORD          _34SizeOfStackCommit ;    //= 1000 (4096.)
DWORD          _35SizeOfHeapReserve ;    //= 100000 (1048576.)
DWORD          _36SizeOfHeapCommit  ;    //= 1000 (4096.)
DWORD          _37LoaderFlags    ;    //= 0
DWORD          _38NumberOfRvaAndSizes;    // = 10 (16.)
DWORD          _39ExportTableAddress ;    //= F800
DWORD          _40ExportTableSize ;    //= 67 (103.)
DWORD          _41ImportTableAddress ;    //= EC38
DWORD          _42ImportTableSize ;    //= 8C (140.)
DWORD          _43ResourceTableAddress; // = 16000
DWORD          _44ResourceTableSize ; // = 21E8 (8680.)
DWORD          _45ExceptionTableAddress; // = 0
DWORD          _46ExceptionTableSize ; //= 0
DWORD          _47CertificateFilePointer;  // = 0
DWORD          _48CertificateTableSize  ;  // = 0
DWORD          _49RelocationTableAddress;  // = 19000
DWORD          _50RelocationTableSize ;  //= B54 (2900.)
DWORD          _51DebugDataAddress    ;  //= 0
DWORD          _52DebugDataSize       ;  //= 0
DWORD          _53ArchitectureDataAddress; // = 0
DWORD          _54ArchitectureDataSize ; //= 0
DWORD          _55GlobalPtrAddress    ; //= 0
DWORD          _56Mustbe                ; //0
DWORD          _57TLSTableAddress       ; // = 0
DWORD          _58TLSTableSize          ; //= 0
DWORD          _59LoadConfigTableAddress ; //= 0
DWORD          _60LoadConfigTableSize ; //= 0
DWORD          _61BoundImportTableAddress; // = 0
DWORD          _62BoundImportTableSize ; // = 0
DWORD          _63ImportAddressTableAddress ; //= E000
DWORD          _64ImportAddressTableSize ; //= 230 (560.)
DWORD          _65DelayImportDescriptorAddress ; //= 0
DWORD          _66DelayImportDescriptorSize ; // = 0
DWORD          _67COMRuntimeHeaderAddress    ; // = 0
DWORD          _68ImportAddressTableSize    ; //= 0
DWORD          _69Reserved                   ;
DWORD          _70Reserved                   ;
};

//---------------------------下面是我自己的读PE头的代码------------------

      //DOS结构:
BYTE dsbuf[0x1000]={0}; //初始化一个字节数组存放PE头
m_pnFiles.ReadFiles(0x00,dsbuf,sizeof(_DLLHEADINFO_DOSSIG));  //读DOS头部分
memset(&_hiDosSig,0,sizeof(_DLLHEADINFO_DOSSIG));          //原结构清空
memcpy(&_hiDosSig,dsbuf,sizeof(_DLLHEADINFO_DOSSIG));       //将内容初始化结构
for(int m=0,n=0;m<n_dsSig;m++,n=n+0x02)
{
_addrHeadInfo._01AddrDOSSIG[m]=n;
_addrHeadInfo._01sAddrDOSSIG[m].Format("0x%08X",n);
}

//PE 偏移量:
memset(dsbuf,0,0x1000);    //数组清空
memset(&_hiOffsetSig,0,sizeof(_DLLHEADINFO_OFFSETSIG));
m_pnFiles.ReadFiles(sizeof(_DLLHEADINFO_DOSSIG),dsbuf,sizeof(_DLLHEADINFO_OFFSETSIG)); //从DOS头大小的地方开始读
memcpy(&_hiOffsetSig,dsbuf,sizeof(_DLLHEADINFO_OFFSETSIG));  //初始化结构
for(int m=0,n=sizeof(_DLLHEADINFO_DOSSIG);m<n_OffsetSig;m++,n=n+0x04)
{
_addrHeadInfo._02AddrOFFSETSIG[m]=n;
_addrHeadInfo._02sAddrOFFSESIG[m].Format("0x%08X",n);
}

//PE 结构:
memset(dsbuf,0,0x1000); //数组清空
memset(&_hiPESig,0,sizeof(_DLLHEADINFO_PESIG));  //结构清空
m_pnFiles.ReadFiles(_hiOffsetSig._8OffsetSignature,dsbuf,sizeof(_DLLHEADINFO_PESIG));  //从偏移量指定的地方读NT头
memcpy(&_hiPESig,dsbuf,sizeof(_DLLHEADINFO_PESIG));
//上面这里读的就是我前面贴出来的哪个结构.

//区段信息:
DWORD seek=_hiOffsetSig._8OffsetSignature+sizeof(_DLLHEADINFO_PESIG); //计算区段位置=偏移量+NT结构头长度(我自己的结构,MS那个不行!),
for(int i=0;i<_hiPESig._03NumberOfSections;i++)
{
memset(dsbuf,0,0x1000);
memset(&_hiSection[i],0,sizeof(_DLLHEADINFO_SECTIONS));
m_pnFiles.ReadFiles(seek,dsbuf,sizeof(_DLLHEADINFO_SECTIONS));
memcpy(&_hiSection[i],dsbuf,sizeof(_DLLHEADINFO_SECTIONS));
seek=seek+sizeof(_DLLHEADINFO_SECTIONS); //当前位置加区段头长度,为下个区段头位置;
}

//看到上面的代码我真的觉得PE头是个死格式,但是,Kmyc朋友说的78和80是什么问题,能不能解释的清楚点!

//实在是搞不懂,到底你说的那有问题!!!!!!!!!!!!!

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

收藏・1

免费・0

支持

最新回复 (15)
kmyc 雪币： 235 活跃值： (17) 能力值： ( LV9，RANK：170 ) 在线值：发帖 11 回帖 76 粉丝 1 关注私信	kmyc 4 2 楼其实我的意思很简单，有些钻牛角尖。就是关于NumberOfRvaAndSizes的 30）接着我们会发现32位的“NumberOfRvaAndSizes（Rva数和大小）”，它是紧随其后的目录的有效项的数目。我已发现此值不可靠；你也许希望用常量IMAGE_NUMBEROF_DIRECTORY_ENTRIES（映象文件目录项数目）来代替它，或者用它们中的较小者。我想kmyc朋友是NumberOfRvaAndSizes 对这个的怀疑？？我记得，从我研究PE结构开始它的值好象一直为0x10字节。如果这个可再大点，我就不知道了，再小点我想是不可能的了。看我后面的解释！ PE文件头格式里有很多在现在看来是被废掉的域，我很奇怪既然NumberOfRvaAndSizes总是10h，那为什么要给它保留空间，每个PE文件都为这些“废域”保留空间。有可能： 1，在设计之初，这个域是有用的，可是后来被废掉了。 2，现在这个域暂时是常量，以后可能就会变化，这是保留给以后用的。 PE文件头的定位很重要，NumberOfRvaAndSizes域后面那个数组到底应该算多少个？算10h个，现在看来不会出错的。算NumberOfRvaAndSizes个，从你的描述来看（它的值好象一直为0x10），也没有什么问题。不过《PE格式注释》好像意思是算NumberOfRvaAndSizes个会有问题“我已发现此值不可靠……或者用它们中的较小者”。如果这个域像我想象的可能是保留给以后用的，比如Vista或者别的什么，那么直接用10h代替是否会出问题就要打一个问号了。请原谅我废话了这么多，也许这本不该是个问题的，纯粹是我钻牛角尖。 2007-10-20 10:57 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 3 楼可以不为$10,最小要保留导入表和导出表, 也就是2. 顺序便可以看出这是2个所谓平等目录中的不平等成员了. 查阅MS的文档, Note that the number of directories is not fixed. Before looking for a specific directory, check the NumberOfRvaAndSizes field in the optional header. 请留意数据目录的数量不是固定的, 在你获取指定的目录前, 检查optional header中NumberOfRvaAndSizes字段的值. http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx 2007-10-20 13:20 0
思弦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	思弦 4 楼 NumberOfRvaAndSizes 为1也是可以的哦,貌似有比较多人认为它最小是2,好象我看到过为1程序也呼呼的跑起来了本应该它最大是16的,不过你让它大于16也是可以的,程序还是呼呼的跑,不过这个时候你用OD一加载,就会MessageBox下,至于它最大可以是多少,偶不知,希望知道的人冒个泡 2007-10-20 13:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼服了，不知道你们在钻什么，说得很清楚了就是用PEHeader+18h+SizeOfOptinalHeader定位SectionHeaders 钻吧，使劲钻。 2007-10-20 13:47 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 6 楼为2就是为了要使用导入表无导入表的程序要跑也只能穷那个Kernel32了. 试过了无导入表的程序, 这个可以减为0, 可以跑... 最大应该跟可载入PE文件大小有关, 假设其他区段大小都忽略, 应该是sizeofimage最大值mod数据目录的记录项大小, 每个记录大小为8, 则是$1F FF FF FF项, 再减去前面的必须的字段mod8的值. 2007-10-20 13:48 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 7 楼 SizeOfOptionalHeader的值不可与这个参与计算的结果矛盾, 不然会被和谐.... 只是为了解决一些误解, PE结构如何取目录项不是试出来的, 反正有资料可以看, 么必要去猜测 2007-10-20 13:51 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 8 楼 #OfRvas可以减少，就不注册，注册多了OS也不管你 2007-10-20 14:11 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 9 楼例如你减少optional header的值, 并且挪好文件, 将datadirectionay的后面几项或者全部空间征做他用(在你确保这些项你不使用的前提下), 如果不保证numberofrvaandsize这个个数是相应减少的, 那么载入时候, 就会啾啾啾, 应用程序xxxxx初始化失败/应用程序xxxx不是有效的xxx(2k/2k3), 或者是宫, 与系统连接的一个或多个设备不能运转(9x). 反之呢, 如果一个程序size of ova and size和optional header都是正确的, 并且数量简直就是0, 那么有人利用楼主的类获取了各个目录后, 继续查询目录下面的入口项, 就会喵的, 自我和谐了. 写程序是一回事, 但是提供类给别人用, 就尽量使用文档化的方法, 而不是经验法则和归纳规律, 以上. 2007-10-20 14:26 0
menting 雪币： 1657 活跃值： (291) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 10 楼我还是希望标准点好，至于，楼上几位朋友说的我也试了一下！好象不要资源表不要导入表，也能正常运行，这个我想并不能说明什么吧！那个程序，还算是PE结构的程序，还是算DOS类程序。我看的资料上说从95开始，MS才把可执行文件规范化！很多程度上都是结合了APPLE或LINUX，才做的，至于具体的，还是要问微软了。也许很多相关的是由于借鉴的问题了。不过，WINDOWS的异常处理会把许多问题代替处理掉，至于没有表项的程序，我想兼容一定是问题！说的不好别笑话，个人看法！ 2007-10-20 14:53 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 11 楼怎么感觉你看的是一部野史.... 2007-10-20 15:03 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼兰陵某某某写的，文档化得不好。 2007-10-20 15:22 0
思弦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	思弦 13 楼我来学习 2007-10-20 18:37 0
Kendiv 雪币： 230 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 106 粉丝 0 关注私信	Kendiv 14 楼一起学习，学习。 2007-12-7 15:20 0
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 15 楼收藏了，PE结构里的学问太多了。 2007-12-8 11:25 0
cxlong 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	cxlong 16 楼一点不懂 2007-12-8 13:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

menting

发帖

319

回帖

610

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
kmyc 雪币： 235 活跃值： (17) 能力值： ( LV9，RANK：170 ) 在线值：发帖 11 回帖 76 粉丝 1 关注私信	kmyc 4 2 楼其实我的意思很简单，有些钻牛角尖。就是关于NumberOfRvaAndSizes的 30）接着我们会发现32位的“NumberOfRvaAndSizes（Rva数和大小）”，它是紧随其后的目录的有效项的数目。我已发现此值不可靠；你也许希望用常量IMAGE_NUMBEROF_DIRECTORY_ENTRIES（映象文件目录项数目）来代替它，或者用它们中的较小者。我想kmyc朋友是NumberOfRvaAndSizes 对这个的怀疑？？我记得，从我研究PE结构开始它的值好象一直为0x10字节。如果这个可再大点，我就不知道了，再小点我想是不可能的了。看我后面的解释！ PE文件头格式里有很多在现在看来是被废掉的域，我很奇怪既然NumberOfRvaAndSizes总是10h，那为什么要给它保留空间，每个PE文件都为这些“废域”保留空间。有可能： 1，在设计之初，这个域是有用的，可是后来被废掉了。 2，现在这个域暂时是常量，以后可能就会变化，这是保留给以后用的。 PE文件头的定位很重要，NumberOfRvaAndSizes域后面那个数组到底应该算多少个？算10h个，现在看来不会出错的。算NumberOfRvaAndSizes个，从你的描述来看（它的值好象一直为0x10），也没有什么问题。不过《PE格式注释》好像意思是算NumberOfRvaAndSizes个会有问题“我已发现此值不可靠……或者用它们中的较小者”。如果这个域像我想象的可能是保留给以后用的，比如Vista或者别的什么，那么直接用10h代替是否会出问题就要打一个问号了。请原谅我废话了这么多，也许这本不该是个问题的，纯粹是我钻牛角尖。 2007-10-20 10:57 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 3 楼可以不为$10,最小要保留导入表和导出表, 也就是2. 顺序便可以看出这是2个所谓平等目录中的不平等成员了. 查阅MS的文档, Note that the number of directories is not fixed. Before looking for a specific directory, check the NumberOfRvaAndSizes field in the optional header. 请留意数据目录的数量不是固定的, 在你获取指定的目录前, 检查optional header中NumberOfRvaAndSizes字段的值. http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx 2007-10-20 13:20 0
思弦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	思弦 4 楼 NumberOfRvaAndSizes 为1也是可以的哦,貌似有比较多人认为它最小是2,好象我看到过为1程序也呼呼的跑起来了本应该它最大是16的,不过你让它大于16也是可以的,程序还是呼呼的跑,不过这个时候你用OD一加载,就会MessageBox下,至于它最大可以是多少,偶不知,希望知道的人冒个泡 2007-10-20 13:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼服了，不知道你们在钻什么，说得很清楚了就是用PEHeader+18h+SizeOfOptinalHeader定位SectionHeaders 钻吧，使劲钻。 2007-10-20 13:47 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 6 楼为2就是为了要使用导入表无导入表的程序要跑也只能穷那个Kernel32了. 试过了无导入表的程序, 这个可以减为0, 可以跑... 最大应该跟可载入PE文件大小有关, 假设其他区段大小都忽略, 应该是sizeofimage最大值mod数据目录的记录项大小, 每个记录大小为8, 则是$1F FF FF FF项, 再减去前面的必须的字段mod8的值. 2007-10-20 13:48 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 7 楼 SizeOfOptionalHeader的值不可与这个参与计算的结果矛盾, 不然会被和谐.... 只是为了解决一些误解, PE结构如何取目录项不是试出来的, 反正有资料可以看, 么必要去猜测 2007-10-20 13:51 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 8 楼 #OfRvas可以减少，就不注册，注册多了OS也不管你 2007-10-20 14:11 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 9 楼例如你减少optional header的值, 并且挪好文件, 将datadirectionay的后面几项或者全部空间征做他用(在你确保这些项你不使用的前提下), 如果不保证numberofrvaandsize这个个数是相应减少的, 那么载入时候, 就会啾啾啾, 应用程序xxxxx初始化失败/应用程序xxxx不是有效的xxx(2k/2k3), 或者是宫, 与系统连接的一个或多个设备不能运转(9x). 反之呢, 如果一个程序size of ova and size和optional header都是正确的, 并且数量简直就是0, 那么有人利用楼主的类获取了各个目录后, 继续查询目录下面的入口项, 就会喵的, 自我和谐了. 写程序是一回事, 但是提供类给别人用, 就尽量使用文档化的方法, 而不是经验法则和归纳规律, 以上. 2007-10-20 14:26 0
menting 雪币： 1657 活跃值： (291) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 10 楼我还是希望标准点好，至于，楼上几位朋友说的我也试了一下！好象不要资源表不要导入表，也能正常运行，这个我想并不能说明什么吧！那个程序，还算是PE结构的程序，还是算DOS类程序。我看的资料上说从95开始，MS才把可执行文件规范化！很多程度上都是结合了APPLE或LINUX，才做的，至于具体的，还是要问微软了。也许很多相关的是由于借鉴的问题了。不过，WINDOWS的异常处理会把许多问题代替处理掉，至于没有表项的程序，我想兼容一定是问题！说的不好别笑话，个人看法！ 2007-10-20 14:53 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 11 楼怎么感觉你看的是一部野史.... 2007-10-20 15:03 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼兰陵某某某写的，文档化得不好。 2007-10-20 15:22 0
思弦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	思弦 13 楼我来学习 2007-10-20 18:37 0
Kendiv 雪币： 230 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 106 粉丝 0 关注私信	Kendiv 14 楼一起学习，学习。 2007-12-7 15:20 0
风林雪币： 233 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 180 粉丝 0 关注私信	风林 15 楼收藏了，PE结构里的学问太多了。 2007-12-8 11:25 0
cxlong 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	cxlong 16 楼一点不懂 2007-12-8 13:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复