《逆向工程核心原理》学习笔记4

发表于 2019-11-29 更新于 2020-10-31 阅读次数： Valine：

本文字数： 313 阅读时长 ≈ 1 分钟

在PE文件中找到什么，在内存同样可以找到

DOS header 
DOS stub
PE file header
Image Optional Header
Section table
Data Directories
Sections

PE header 通常位于[imagebase]~[imagebase+1000]
memory double click

改变PE entry point 以跳过一些代码
binary fill with nops
PE header通常大小是1000h

EAT 库用来方便其他程序使用函数

弹出消息框的地方，pased， alt+f9 , 再点消息框（80%的情况下有用）
在memory窗口下搜索，内存中的数据
find reference