Windows可执行文件格式PE的奥秘究竟隐藏了哪些不为人知的秘密?
- 内容介绍
- 文章标签
- 相关推荐
说起Windows上的程序文件,你可能天天都在用,但未必真的了解它。哈哈,这玩意儿就叫PE文件,是不是听起来有点陌生呃?其实吧,你天天用的那些.exe、.dll,甚至.sys、.ocx,统统都是PE文件。你想想,咱电脑上跑的程序,哪有不用这些的,站在你的角度想...?
PE文件的“身份证”——文件头
先说说最外面的那层皮,叫“文件头”。这里面记着这文件是干嘛的,啥时候造出来的,从哪儿开头运行。这就好比一个人的身份证,上面写着名字啊, PUA。 出生日期啊,住哪儿啊。要是这头有问题,那这文件基本就废了。Windows一看,这不对啊,就不给你跑了。
有些高级的病毒,还会修改PE头,或者加一个额外的节,把恶意代码藏在那里面。这就好比有人在三明治里偷偷夹了一块芥末,你外表看不出来一口咬下去,辣死你,我始终觉得...。
节——PE文件的“器官”
再说说这“节”。一个PE文件通常有好几个节,每个节都有自己的活儿。比如有个叫.text的,这是最常见的。这里面放的都是代码, 人间清醒。 就是那些让CPU施行的指令。电脑就是读这里的命令来干活的。这地方一般只读,你想改它?没门。
还有个叫.data的,这玩意儿就是放数据的。啥数据呢?就是程序里要用到的那些变量啊, 操作一波... 字符串啊之类的。有的数据是初始化过的,有的没初始化,反正都堆在这儿。
然后还有.rsrc你也见得着。这里面放的都是些花里胡哨的东西,比如程序的图标啊,你看到的那个窗口啊,菜单啊,图片啊。要是没有这个节,你运行的程序也许就是个黑框框,啥也看不见。
说起Windows上的程序文件,你可能天天都在用,但未必真的了解它。哈哈,这玩意儿就叫PE文件,是不是听起来有点陌生呃?其实吧,你天天用的那些.exe、.dll,甚至.sys、.ocx,统统都是PE文件。你想想,咱电脑上跑的程序,哪有不用这些的,站在你的角度想...?
PE文件的“身份证”——文件头
先说说最外面的那层皮,叫“文件头”。这里面记着这文件是干嘛的,啥时候造出来的,从哪儿开头运行。这就好比一个人的身份证,上面写着名字啊, PUA。 出生日期啊,住哪儿啊。要是这头有问题,那这文件基本就废了。Windows一看,这不对啊,就不给你跑了。
有些高级的病毒,还会修改PE头,或者加一个额外的节,把恶意代码藏在那里面。这就好比有人在三明治里偷偷夹了一块芥末,你外表看不出来一口咬下去,辣死你,我始终觉得...。
节——PE文件的“器官”
再说说这“节”。一个PE文件通常有好几个节,每个节都有自己的活儿。比如有个叫.text的,这是最常见的。这里面放的都是代码, 人间清醒。 就是那些让CPU施行的指令。电脑就是读这里的命令来干活的。这地方一般只读,你想改它?没门。
还有个叫.data的,这玩意儿就是放数据的。啥数据呢?就是程序里要用到的那些变量啊, 操作一波... 字符串啊之类的。有的数据是初始化过的,有的没初始化,反正都堆在这儿。
然后还有.rsrc你也见得着。这里面放的都是些花里胡哨的东西,比如程序的图标啊,你看到的那个窗口啊,菜单啊,图片啊。要是没有这个节,你运行的程序也许就是个黑框框,啥也看不见。