Malware analysis. PE FORMAT. PortableExecutables (PE) Обсудить статью на форуме Автор: Hard Wisdom <hardwisdom@geocities.com> [0] Вступление Итак, в этом документе излагается формат PE файла с комментариями. Что побудило меня к такой работе? Отчасти пинания Shadow Dragon'a, а отчасти одна законченная шутка для Windows'95. В основе лежит официальное описание фирмы Микрософт (весьма и весьма глюкавое), книга Мэтта Питрека "Секреты системного программирования в Windows'95" (ну очень тяжела для прочтения, ну очень много воды...), книга Эндрю Шульмана "Неофициальная Windows'95" (тоже очень мокрая), книга Джеффри Рихтера "Программирование в Win32 API для Windows NT 3.5 и Windows'95", а так же готовые экзешники Windows'95.
Общие соглашения в написанном тексте: все именования полей и ключевых структур - Английские и только, остальной текст может быть произвольным ;-), тект изложения перемежается с вольными комментариями и лирическими отступлениями. . [1] Обзор Summary File Structure [2] Заголовок PE файла (PE Header) Заметки: А теперь поехали... PE Header. Win32 Portable Executable File Format. Long time ago, in a galaxy far away, I wrote one of my first articles for Microsoft Systems Journal (now MSDN® Magazine).
The article, "Peering Inside the PE: A Tour of the Win32 Portable Executable File Format," turned out to be more popular than I had expected. To this day, I still hear from people (even within Microsoft) who use that article, which is still available from the MSDN Library. Unfortunately, the problem with articles is that they're static. The world of Win32® has changed quite a bit in the intervening years, and the article is severely dated. I'll remedy that situation in a two-part article starting this month.
You might be wondering why you should care about the executable file format. Bridging the Gap Let me give you just a few examples of what has changed since I wrote the article in 1994. Overview of the PE File Format Microsoft introduced the PE File format, more commonly known as the PE format, as part of the original Win32 specifications. Figure 1Offsets. Sandboxes. Comodo. Anubis. MALWR.