Loading... 1. PE文件的Magic code(魔数、幻数)是什么? MZ头、PE头 2. PE文件中文件头的信息有哪些? 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小 3. PE文件中扩展头的信息有哪些? EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地址 数据目录表、数据目录表项数量、文件对齐、内存对齐、映像总大小 4. PE文件中区段信息有哪些? 区段名称、虚拟地址、虚拟大小、文件偏移、文件大小、区段属性(C0000020、60000020) 5. PE文件中数据目录表有哪些表? 导出表、导入表、异常表、tls表、资源表、IAT、重定位表 6. 一个进程,三环下有哪些数据结构? 进程环境块(PEB)、线程环境块(TEB)、tls结构 7. 导入表结构体字段有几个,分别是什么? 5个字段,第一个是OrginalFirstThunk,里面是rva,指向的INT,第二个是时间戳,第三个是转发机 制用到的ForWarderChain,第四个是name,rva,dll名称字符串,第五个是FirstThunk,指向的是 IAT。 INT或IAT在文件中存的是一样的,存的是指向名称字符串的rva或者一个序号 最后修改:2021 年 02 月 03 日 © 允许规范转载 赞 0 如果觉得我的文章对你有用,请随意赞赏