PE查看工具编写-解密系列【工具篇】要素.ppt

工具篇 -- PEInfo 实践是检验学习成果的唯一标准！通过本章节的学习，大家可以学会自己编写一个PE结构的分析工具，这对于理解PE格式和相关原理非常有帮助的^~^ 程序预览：PEInfo.exe 编程思路：文件格式检查 - FileHeader读取 - FileOptionalHeader读取 - 数据目录表读取 - 区块表读取 - 输出表读取 - 输入表读取 工具篇 -- PEInfo PE格式分析工具的编写并不难，主要就是对PE格式的各个结构进行定位。 我们在头文件里边定义了一个MAP_FILE_STRUCT 结构来存放有关信息。 typedef struct _MAP_FILE_STRUCT { HANDLE hFile; // 文件句柄 HANDLE hMapping; // 映射文件句柄 LPVOID ImageBase; // 映像基址 } MAP_FILE_STRUCT, *PMAP_FILE_STRUCT; 文件格式检查 DOS stub - PE IMAGE_DOS_HEADER STRUCT { WORD e_magic // DOS可执行文件标记 。。。。。。 DWORD e_lfanew // 指向PE文件头（+3ch） } PIM