當乙個pe檔案被執行時,
pe裝載器首先檢查
dos mz header
裡的pe header
的偏移量。如果找到,則直接跳轉到
pe header
的位置。
當pe裝載器跳轉到
pe header
後,第二步要做的就是檢查
pe header
是否有效。如果該
pe header
有效,就跳轉到
pe header
的尾部。
緊跟pe header
尾部的是節表。
pe 裝載器執行完第二步後開始讀取節表中的節段資訊,並採用檔案對映方法將這些節段對映到記憶體,同時附上節表裡指定節段的讀寫屬性。
pe檔案對映入記憶體後,
pe裝載器將繼續處理
pe檔案中類似
import table
(輸入表)的邏輯部分。
PE檔案詳解之PE檔案頭
1,pe檔案頭 pe header 緊挨著 dos stub 2,pe header 是pe相關結構nt映像頭 image nt header 的簡稱。裡面包含著許多pe裝載器用到的重要字段。3,執行體在支援pe檔案結構的作業系統中執行時,pe裝載器將從 image dos header 結構中的 ...
PE檔案詳解之PE檔案頭
1,pe檔案頭 pe header 緊挨著 dos stub 2,pe header 是pe相關結構nt映像頭 image nt header 的簡稱。裡面包含著許多pe裝載器用到的重要字段。3,執行體在支援pe檔案結構的作業系統中執行時,pe裝載器將從 image dos header 結構中的 ...
關於PE可執行檔案的修改 2
我們將用 module 這一術語來表示已裝入記憶體的可執行檔案或dll的 資料及資源。除了程式中直接用到的 和資料以外,乙個module也指windows中用於判斷 及資料在記憶體中位置的支撐資料結構。在16位windows中,支撐資料結構在module database中 hmodule指向這個段...