【发布时间】:2017-11-15 14:36:14
【问题描述】:
我知道 PE 32 位结构,我想知道 PE 32 位和 PE 64 位之间有什么区别(定义 64 位 PE 结构)?
【问题讨论】:
-
查看
ntimage.h- 这里定义了所有的pe结构。
标签: debugging reverse portable-executable hexdump
【发布时间】:2017-11-15 14:36:14
【问题描述】:
你应该看看这个链接 https://msdn.microsoft.com/fr-fr/library/windows/desktop/ms680547(v=vs.85).aspx 我想你应该找到你的幸福
编辑:
当您在导入函数中查找名称或序号时,导入表中存在一些差异,PE32 位被掩码为 0x80000000,PE32+ 位被掩码为 0x8000000000000000
图像 pe 格式的幻数是 PE32 的 0x10b 和 PE32+ 的 0x20b
- 可选标头中的 BaseOfData 字段在 PE32 上,但不在 PE32+ 上
- 当您重新定位时,您应该查看标志 HIGHT_LOW 对于 PE32 是否处于活动状态,对于 PE32+ 是否处于 DIR64 状态
【讨论】: