1.PE文件简介
PE文件格式是Windows系统中应用最广泛的文件格式之一,我们常见的可执行文件.exe、动态链接库.dll以及驱动文件.sys等都是PE文件格式的。
可以通过十六进制工具如010editor查看PE文件,可以看到PE文件都有一个共同的特点,就是它们的最开头都是4D5A,也就是ASCII字符MZ。见下图
在Windows系统“眼里”,其实只有PE文件,后缀名只是用于关联打开程序,方便将某一类文件分门别类,我们甚至可以将后缀去掉,一样不会影响工具对这些文件的解析。
2.学习PE文件格式的作用
很显然,PE文件作为Windows系统上最常见的文件格式,是逆向、病毒木马分析必不可少的基础知识,PE文件格式是大多数Windows系统软件的载体,可以说,深入理解PE文件是每一个软件安全工程师都必须达到的标准。
3.学习资源
- 滴水视频第三期
- 《黑客免杀攻防》
- 《Windows PE权威指南》
- 《加密与解密》
4.工具
010editor :十六进制编辑器,提供了PE文件格式解析脚本,可以通过它来对照文章学习。
010editor 9破解版:https://pan.baidu.com/s/16UJp98fTKpz2AASRafGvxA 密码: x3ek