a.可分进程shuj:
1.进程列表
2.进程模块 模块名 模块句柄 模块基址 模块大小 模块路径
3.通过特征码扫描易语言的程序
c.分析DOS头:
PE标志 标志PE头的地址
d.分析NT头
e.可以分析标准PE头
1.机器码
2.节的数量
3.PE文件的特征值
4.可选PE头的大小
5.符号的数量
...
f.分析可选PE头
1.机器型号
2.链接器版本
3.代码节的RVa
4.shuj节rva
5.内存中节对其和文件对其值
6.ImaeBase 镜像基址
7.SizeOfImage 整个程序在内存中占用的空间
8.所有头大小
9.程序入口点
g.可以分析shuj目录地址
1.导入表
2.导出表
3.zy表
4.IAT表
5.绑定导入表
......
j.可以分析节表
Name: .text [节名称]
VirtualSize[内存中大小(对齐前的长度)]
VirtualAddress[节区在内存中的偏移地址(RVA)]
SizeOfRawData[文件中大小(对齐后的长度)]
PointerToRawData [文件中偏移(OffSet)]
Characteristics[标志(块属性)]
下一篇 QQ资料照片墙上传工具例子