arquivo PE é um formato de arquivo plataforma Windows padrão executável, a Microsoft concentrou essência do engenheiro de projeto, depois de 40 anos, ainda mantém o seu design original. análise do arquivo de PE tem importante significado prático para o estudo do sistema operacional Windows para análise inversa desempenha um papel importante na orientação. Hoje analisamos um arquivo PE --Alimail.exe, ele conta com a biblioteca para ver o que.
Primeiro aberto com Hexworkshop ferramenta Alimail.exe, observe o local 3cH, aqui é o endereço do arquivo de cabeçalho PE: 0x0118
Então, nós saltar para 0x0118, aqui é o cabeçalho PE
Ir para o + 80H cabeçalho PE, onde o armazenamento de dados de entrada de endereço da tabela: 0x04D9D7C4
A RVA = 6a08h no endereço FileOffset, aqui usamos LoadPE favor da reconversão, após a conversão de 0x04D9C5C4. Ir para 04D9C5C4, aqui, onde a tabela de saída IID dados de matriz. Encontramos IMAGE_IMPORT_DESCRIPTOR, o quarto campo nome, 0x04D9E08C:
04D9E08C após a conversão, para obter um endereço offset: 0x04D9CE8C, podemos ver ws2_32.dll