原创视频教程：揭秘PE格式之输入表

ddsoft

今天分析了一下PEID0.94的输入表，做个视频，同大家一起学习，

如果有错误，或者术语不对，欢迎给我留言。我也是初学者。

视频下载地址：   http://www.33vc.com/disk/GetFile.asp?Id=101021122927v0qdu（进去后直接点下载文件）。

PEID 输入表：RVA 0008B000 Size: 00000FF4
RVA指向的是IID结构数组。
IID结构 ，20字节。最后以20个0结束。
peid 输入了7个dll.
IID 最重要的是第1，4，5个字段。
1.5分别 是 …
4是dll的名字。
第一个dll,name 0008B0A0 advapi32.dll
第二个dll,name 0008B178 comctl32.dll
……….
只分析advapi32.dll
第5个字段 FirstThunk是00001000。指向的是INT,
INT是IMAGE_THUNKDATA（4个字节）的数组。
发现有11个 IMAGE_THUNKDATA。所以应该是输入了11个函数。
第1个函数 0008B0AE ->根据名字来输入。它的hint 1f,
name AllocatAndInitiaziSid,
第2个函数 0008B0CA 它的hint 011B,
name GetTokenInformation  

w346260143

謝謝分享

tysan

继续加油，期待你接下来的几课~

ddsoft

回复 3# tysan


   感谢 版主，已出第2课。。。:)eee

歪歪屁

支持，谢谢分享，支持你。下载了。

tdygood

先顶后看，谢谢楼主分享

97672546

感谢楼主的分享    非常好的教程

2666fff

我就喜欢看PE结构

豌豆

PE结构
好复杂的说

mycc

呵呵，我来顶起的