实模式
开电脑一瞬间,就处于实模式,1M寻址
dos 使用实模式
保护模式
windows在保护模式
windows me 是windows 9x系列的最后一个
windows NT 2000以后的 现在的都是NT系列的
不同进程使用操作系统的共享地址
com 的特点就是没有特点
PE格式解释
有用的字段
dos头的最后一个双字,指向PE头的起始地址
File header的大小永远是固定的20字节,下面4个字段比较重要
- Machine:表示这个程序是什么架构的
- NumberOfSections:表示这个程序有多少个节
- SizeofOptionalHeader:表示optionsHeader的大小
- Characters:表示这个程序的一些特性
Optional header :是必要的头
介绍一下重要的属性
AddressOfEntryPoint:程序执行入口的RVA
BaseOfCode:代码节的起始RVA
imageBase:程序的建议装载地址
SectionAlignment:内存中的节的对齐粒度
FileAlignment:文件中的对齐粒度
MajorOperatingSystemVersion:要求操作系统最低版本号的主版本号(Windows XP是5.1)主版本为5 ,次版本为1
Subsystem:文件的子系统
DllCharacteristics:dll的属性
Sizeofimage:这个地方的大小可以不和文件一致,但原始文件一般是相符的,所以程序被篡改后添加新节后,这个地方就会不同