-
-
[旧帖] [求助]请高手帮忙分析一下这一小段代码! 0.00雪花
-
发表于: 2008-5-17 13:39
-
关于PE文件格式的:
MOV EAX, [EDI+28] “查找包含‘PE’的节表
IN-00:
MOV ECX ,[ESI+0C]
ADD ECX,[ESI+08]
CMP EAX,ECX
JC SHORT IN-01
ADD ESI ,28
JMP SHORT IN-00
其中EDI 指向PE文件头,那[EDI+28] 不就是'可选头'中的ADDRESSOFENTRYPOING 吗?
其中ESI 指向第一个节表,那[ESI+0C]不就是节表里virtualaddress,[ESI+08]=virtualsize
那ADD 之后ECX 里是什么东西?跟EAX比较是什么意思?望高手能够解答一下!
MOV EAX, [EDI+28] “查找包含‘PE’的节表
IN-00:
MOV ECX ,[ESI+0C]
ADD ECX,[ESI+08]
CMP EAX,ECX
JC SHORT IN-01
ADD ESI ,28
JMP SHORT IN-00
其中EDI 指向PE文件头,那[EDI+28] 不就是'可选头'中的ADDRESSOFENTRYPOING 吗?
其中ESI 指向第一个节表,那[ESI+0C]不就是节表里virtualaddress,[ESI+08]=virtualsize
那ADD 之后ECX 里是什么东西?跟EAX比较是什么意思?望高手能够解答一下!
