写壳第一课学习笔记

吾爱扣扣

  PE的第一个结构是_IMAGE_DOS_HEADER（MS-DOS头），他占用64个字节，一个字节等于8位二进制数 ，也就是512个二进制数。
  
  它的第一个成员占2个字节，被用于表示一个MS-DOS兼容的文件类型，他的值是固定的----“4D5A”。
  
  第二个成员到第18个成员总共58个字节，是对DOS程序环境的初始化等操作，对程序没有影响，通常用00填充。
  
  第十九个成员(也是MS-DOS头的最后一个成员)非常重要，是LONG e_lfanew，用来表示“PE文件标志”在程序中的偏移，占4个字节。直接指向NT头的位置（PE的第四个结构）

  
  MS-DOS实模式残余程序是PE文件的第二个结构，占112个字节，VC6.0的编译器会多加8个字节，它的第一个成员表示“PE文件标

志”，占4个字节，它是PE开始的标记，值必须为“50450000”，
即PE字符。

                                                                                    欢迎交流！

Victory.ms

支持一下楼主，我已经搞懂了，希望楼主早日造出属于自己的壳

吾爱扣扣

Victory.ms 发表于 2013-2-17 22:50
支持一下楼主，我已经搞懂了，希望楼主早日造出属于自己的壳

谢啦！你看教程了？

qaz789a4

果然任何都离不开PE啊

庚琰1001

一起学习了
楼主辛苦