了解PE文件才能做好的免杀

免杀技术详解减小字体增大字体逆流风注：本文是去年投给黑客X档案的，与那期的主题乐园内容重叠，故未被选上，我也不另投其他杂志，转贴请注明出处，保留版权。

一、加壳免杀壳按照性质不同可分为压缩壳和加密壳，使用压缩壳压缩过的软件体积会减小很多，我们常用的UPX、ASPACK、FSG就是压缩壳，加密壳是防止软件被破解而加的壳，常见的加密壳有tElock、幻影、ASProtect 等。

加壳免杀是我们常用的免杀方法，操作简单，但是免杀的时间不长，可能很快就被杀。

但是经过加花指令、修改特征码后再加壳，免杀效果就相当好了，所以我们还是有必要了解一下。

实例：用NEW、[MSLRH] v0.31a加壳免杀NEW是一款俄国人写的具有高压缩率的壳。

压缩率高，而且压缩后的程序基本不会被查杀，值得一用。

以疯狂qq大盗build0709无壳版为例，使用NEW加壳。

文件由原来的800K变成411K。

接下来我们再用加密壳[MSLRH] v0.31a来加密疯狂qq大盗build0709无壳版。

[MSLRH] v0.31a能伪装成其它壳。

先用PEiD查下疯狂qq大盗build0709无壳版，没加壳，用[MSLRH] v0.31a加壳，在“令PEiD（V.93）探测为：随便选一个壳名称，用ASPack吧。

加好后文件大小变成872K，再用PEiD探测，变成ASPack 了（如图1）。

下面对比一下加壳效果和免杀效果。

用瑞星查杀，两个加过壳的疯狂qq大盗都躲过了瑞星的表面查杀而没加壳的瑞星查出来了。

（如图2、图3）二、修改入口点免杀杀毒软件的杀毒引擎大多以文件的入口处来判断文件是否是病毒或木马。

我们通过修改文件的入口点能躲过大部分杀毒软件的查杀。

实例：将疯狂qq大盗build0709无壳版的入口点加1免杀修改入口点，我们使用的是Peditor。

首先，用Peditor打开将疯狂qq大盗build0709无壳版，看左上角文件性息中的入口点，疯狂qq大盗build0709无壳版的入口点是00063DC8，00063DC8+1＝00063DC9，将入口点改为00063DC9，再点击“应用更改”，就OK了。

超全面的免杀技术经验总结免杀技术经验总结（感觉经典）学习免杀，首先你得学会汇编把，基础的指令要懂得一些，一般的指令修改必须会，一般的修改这里就不赘述了，接下来就是掌握一些常用的免杀技巧，这里总结一些第一：我们学习免杀的方向：只是为了保护自己的黑软的话！就不会学的那么累（没必去学汇编编程）有时候简单加下壳或者脱下壳就OK！如果是要挑战世界的杀毒软件的话，毕竟每个PC用户安装的杀软都不一样！想抓鸡拿服务器的朋友就要进修脱壳破解，高级汇编的内容了，这将决定你免杀技术的高低！第二：免杀的环境：做免杀，逃不了测试这个木马是不是修改成功！所以为了保护自己的系统，我建议学免杀要先学会使用虚拟机，很多人会说，为什么不用影子？影子系统虽然也是可以保护的，暂用资源又少，但是有些反弹型木马，我们运行后如果失败（即使成功）都需要重启来完成完全清除的工作！做过QQ盗号木马跟黑鹰远控软件免杀的朋友应该深有体会！第三：杀软的安装设置：个人建议安装卡巴，NOD32,小红伞，瑞星，金山！（当然配置好的电脑可以再加上江民，麦咖啡）！硬盘大的朋友建议全利用虚拟机安装杀软（方便以后重做系统，节省升级病毒库的时间）杀软的设置，可以说是很简单的！每安装完一个杀软，我们都要先在杀软设置里把监控跟自我保护的选项的钩去掉！然后升级病毒库！升级完后再关闭服务跟启动项（利用360安全卫士）这样安装其他的杀软就不会起冲突了！这里注意下！瑞星升级后会自己更改自己的服务为自动，所以瑞星建议最后装，最后升级，再关闭它的服务！这里我想大家肯定是关心杀软的序列号从哪来的吧！瑞星有体验版，金山有37天试用版，NOD32利用PPLOVE网络电视有180天试用！卡巴等洋货在百度上搜索均有可用的序列号！这个就是考验大家的细心了！呵呵！卡巴不建议装6.0.7.0的，人家都在央视打广告了，我们就装2009把！（虽然卡巴的启发比不上NOD32的，但是它的主动可是免杀爱好者的"粉丝"）杀软的查杀特点：卡巴：主动+高启发扫描~~，效果相当厉害，卡巴的主动非常麻烦，SSDT也被封了，启发式也极难通过，还是要取决于木马本身的实力了，瑞星：国内木马的超级对手可以这么说！对国内的木马定位的特征是洋货的N倍（鸽子见证）主要查杀技术是内存查杀技术，但是对一些生僻的木马，内存病毒库里竟然没有，只要过了表面就可以过内存......主动主杀敏感字符串，不过2009的主动貌似改进了不少......广告卖的倒不错，但是只是针对流行木马！其他不常见木马并没有加大什么强度！NOD32：启发扫描的头领！主杀输入表函数，针对MYCCL定位器做过调整！定位建议用multiCCL这个来定位！不过这个大块头对生僻壳的侦壳能力不强！加些生僻壳把一些函数保护起来可以让它无用武之地！（这类壳主要是加密型，不建议用压缩型）金山：数据流查杀技术的代表！简单来说跟瑞星内存查杀技术有点一样！病毒库升级，查杀病毒速度都是超级快！但是杀毒能力比较上面的几款有点逊色！360与金山清理专家：行为查杀的代表，金山清理专家比360查杀力度还大！但是监控能力......实在不想说！不过360的5.0版加了木马云查杀，据说不是很好过（没试过~~~）以上可以说是所有集合杀软的特点：文件查杀，内存查杀，启发查杀，数据流查杀！行为查杀！主动防御！每个杀软都有自己的特点，一个人也不可能把全球杀软都安装起来研究，但是以上4个杀软跟一个辅助可以说全包括了病毒查杀特点！也不能说哪个不好，哪个很好！有些木马这个杀软杀不出来~~那个就可以杀出来！所以对于现在网上有些朋友对个别杀毒软件不重视，就会导致你所谓的"肉鸡"插翅难飞！嘻嘻！接下来就说说技巧方面的1.比如你定位一个特征码定位到了一个字符串上我们比如这个特征码定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run，遇到这个我想大家一定是修改大小写吧，但是有时候修改大小写还是被杀。

了解PE文件才能做好的免杀一、前言（Preface）PE（“portable executable”，可移植的可执行文件）文件格式，是微软WindwosNT,Windows95和Win32子集①中的可执行的二进制文件的格式；在WindowsNT中，驱动程序也是这种格式。

它还能被应用于各种目标文件②和库文件中。

这种文件格式是由微软设计的，并于1993年被TIS（tool interface standard,工具接口标准）委员会（由Microsoft,Intel,Borland,Watcom,IBM,等等组成）所批准，它明显的基于COFF文件格式的许多知识。

COFF（“common object file fromat”,通用目标文件格式）是应用于好几种UNIX系统③和VMS④系统中的目标文件和可执行文件的格式。

Win32 SDK⑤中包含一个名叫<winnt.h>的头文件，其中含有很多用于PE格式的#define和typedef定义。

我将逐步地提到其中的很多结构成员名字和#define定义。

你也可能发现DLL文件“imagehelp.dll”很有用途，它是WindowNT的一部分，但其书面文件却很缺乏。

它的一些功用在“Developer Network”（开发者网络）中有所描述。

二、总览（General Layout）在一个PE文件的开始处，我们会看到一个MS-DOS可执行体（英语叫“stub”,意为“根，存根”）；它使任何PE文件都是一个有效的MS-DOS可执行文件。

在DOS-根之后是一个32位的签名以及魔数0x00004550 (IMAGE_NT_SIGNATURE)（意为“NT签名”，也就是PE签名；十六进制数45和50分别代表ASCII码字母E和P----译者注）。

之后是文件头（按COFF格式），用来说明该二进制文件将运行在何种机器之上、分几个区段、链接的时间、是可执行文件还是DLL、等等。

电脑如何在PE模式下杀毒
工具/材料：
腾讯电脑管家
如果电脑中了毒或者中了敲竹杠病毒，导致电脑被锁或者其他原因怎么办？相信很多小伙伴会直接来一句送电脑店或者重新安装系统，不过这样要耽误很多时间，而且重装系统对需要消耗的时间也是非常多的，那么有什么巧妙的解决方法吗？安全模式也进不去，其实我们可以在PE下杀毒，今天就和大家分享几个方法
【从BIOS修改开机启动项】
1，今天和大家分享的是从U盘启动进入PE下杀毒，在电脑开机出了主板的LOGO后，快速不停的按F2键，然后就会进入BIOS了
2，在BIOS中，虽然由于启动项设置的方法不同，但都是先找到BOOT这个选项，找到后，在里面选择第一启动项为USB启动
【制作U盘启动】
1，设置好启动项后，我们可以随便拿一个U盘，到其他能正常启动的电脑上，其实启动U 盘也有卖的，不过咱自己制作更安全省钱
2，把U盘连接到电脑上后，百度搜索【U盘启动】然后任意下载一个软件，安装打开后一键制作U盘启动器，放自己的电脑上，就会进入PE了
【PE下给电脑杀毒】
1，电脑进入PE系统后，下一步我们就需要给电脑进行杀毒了，PE下其实同样可以下载杀
毒软件，比如腾讯电脑管家，然后找到【病毒查杀】功能
2，找到这个功能后，然后打开，选择【全盘扫描】，然后它会自动检测电脑上面的木马病毒，然后等扫描结束后，对木马病毒进行清理就可以了。

如何使用Windows PE 杀毒？大家在使用电脑的过程中或多或少都会遇到过感染病毒木马的事情。

一般在此情况下我们都直接使用杀毒软件来解决问题。

但是有时候我的杀毒软件无法启动，甚至是安全模式都无法进入，可是又不想重装系统，那该怎么办？别担心，只要有Windows PE光盘的存在，一切问题几乎都可以迎刃而解。

先来说说什么是Windows PE吧，Windows PE的英文全称叫“Windows PreInstallation Environm ent”，中文名叫“Windows 预安装环境”，说白了就是另一种的Windows操作系统，也可以理解为Windows操作系统的极端简化版，它甚至可以安装在光盘上，从光盘就可以启动Windows PE，而不需要借助硬盘来进入Windows。

我们这里主要讲的，就是安装在光盘上的Windows操作系统，我们叫它“Windows PE光盘”。

市面上集成杀毒软件的Windows PE光盘品种繁多，这里挑选两种比较普遍使用的集成杀毒软件的光盘进行介绍，一种是电脑迷杂志的配套光盘（集成Nod32)，另一种就是老毛桃PE光盘（集成卡巴斯基）。

在开始讲述之前，请先把您电脑的启动设备顺序设为光驱第一启动。

（怎么设置可以参考主板或者品牌电脑说明书）。

先来说说第一种的，电脑迷配套光盘吧。

现在在很多报刊亭或者书店上我们都可以买得到电脑迷杂志，上面的配套光盘集成了一个带Nod32杀毒软件的Windows PE光盘（其实除了Windows PE之外该光盘还附有其他的工具），该光盘除了有杂志里面所提到的部分资源以外更重要的是它里面还附带了包括Windows PE在内的众多工具。

可以杀毒是它的一个特色。

使用该光盘的好处就是，不需要经过太复杂的设置，即可完成杀毒操作。

把电脑设为光盘启动之后，在电脑启动的时候立刻把光盘放到光驱里面，然后电脑就会读取光驱，从光盘启动，显示如下界面（不同期数的光盘所显示的界面可能会略有不同，不过选项基本一样），选择“WinPE工具箱（含Nod32杀毒工具）”然后系统会自动进入到Windows PE系统，期间您可以不用进行任何的操作（您看到的界面是不是很熟悉）？进入Windows PE系统以后，点击桌面上的“Nod32”图标，打开Nod32的主程序。

详解WinPE 修改制作PE说明各PE文件解说一、什么是WinPEwinpe的全名是WindowsPreinstallationEnvironment（WinPE）直接从字面上翻译就是“Windows预安装环境”。

微软在2002年7月22日发布，它的原文解释是：“Windows预安装环境（WinPE）是带有限服务的最小Win32子系统，基于以保护模式运行的WindowsXPProfessional内核。

它包括运行Windows安装程序及脚本、连接网络共享、自动化基本过程以及执行硬件验证所需的最小功能。

”换句话说，你可把WinPE看作是一个只拥有最少核心服务的Mini操作系统。

微软推出这么一个操作系统当然是因为它拥有与众不同的系统功能，如果要用一句话来解释，我认为与Win9X/2000/XP相比，WinPE的主要不同点就是：它可以自定义制作自身的可启动副本，在保证你需要的核心服务的同时保持最小的操作系统体积，同时它又是标准的32位视窗API的系统平台。

二、WinPE的限制1.为了防止将它用作盗版操作系统，在连续使用24小时后WinPE将自动退出并重启。

2.你可从WinPE计算机通过网络直接访问服务器和共享。

但不能从网络上的另一个位置访问WinPE计算机上的任何文件或文件夹。

WinPE通过TCP/IP及其上的NetBIOS获得到达文件服务器的网络连接，不支持其他方法（如IPX/SPX网络协议）。

3.因为涉及反盗版，所以只能从Windows XP Professional CD建立WinPE的自定义版本。

而不能从Windows XP Home Edition或Windows 2002 Server操作系统家族的任何成员建立。

4.WinPE太大，不能放在软盘上。

WinPE仅包括可用Win32API的子集（包括I/O（磁盘和网络）和核心Win32API）。

如果Win32下运行的服务基于Win32API子集，则它在WinPE 是否可用需具体分析。

免杀基础三步走之二(PE文件结构)思绪燃星火2009-02-09 17:07:26 阅读4216 评论30 字号：大中小订阅题记：本文发表于《黑客X档案》08年第9期，这是在其中分离出的第二段。

转载请注明版权：/ 作者：A1Pass黑客反病毒论坛不知道通过上一节的学习与大家自己的努力，许多以前曾困惑不解的问题现在是否已经有了满意的答案。

如果自己认为理解的还不够，就多实践一下，多思考一会，多搜索一次，相信你会因此而变得不再平凡。

这一节就让我带领大家走进文件系统的底层——PE文件结构的学习与探究。

其实PE文件就是指Windows里的DLL与EXE文件，PE的意思就是Portable Executable，即可移植的执行体。

大家也可以将其与JPG文件或MP3文件等对应理解，也许这样就会揭开它的神秘面纱，显得更为亲近一些。

当然，PE文件要远比MP3等文件复杂得多，但是作为Windows操作系统里特有的一种可执行文件格式，只要我们能对其有一个大体的了解，就会使我们了解更多的免杀技术的本质，从而更加有效与正确的利用这些技术。

一、PE文件入门PE文件总的来说是由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成。

其实，如果在纯Windows 环境下运行，DOS文件头、DOS加载模块根本是用不上的，加上两个DOS相关的结构完全是为了兼容性问题。

为了方便观察与理解，我们可以通过观察图1大体了解PE文件的结构。

如图可知，整个程序就是以DOS文件头“MZ”开始的，接下来就是DOS加载模块“This program cannot be run in DOS mode”，几乎每个Windows程序的前面都是这样一些信息！下面有一个以字母“PE”为开头的文件块，这就是大名鼎鼎的PE文件头了，PE文件头的标准大小为224个字节，由图可见，里面有一个画了横线标记的问号与左面的十六进制信息“E0”相对应，这便是PE文件头体积的描述标记，十六进制的“E0”等于十进制的“224”由此也不难看出PE文件头的大小为224个字节。

信息来源：噩靈戰隊[Evil-Soul Security Team]（）最近很懒，懒得甚至不想做教程了，那么就给大家用文章代替吧，其实这个是不正确的，我以后尽量改。

呵呵，不废话了，今天我们主要讲一个知识，就是PE的文件结构到底是什么样的，我们大家做免杀的时候会很经常有人谈论什么PE头啊，什么表名啊等等。

今天我们就直观的来认识一下这个东西。

首先，我们来看一张图。

我的测试程序是PUBWIN2008破解伪装精灵，我以前去网吧没少用它。

我们可以看到，初始时在载入C32ASM的时候会停在物理地址为00000000处，这就表示这个程序开始被读入了，我们仔细观察这两个东西。

和这两个在每个程序载入后基本上都会出现这个，几乎是恒定不变的，但是也不一定，有的时候还会出现别的话，但是都差不多，我也没找到不一样的那个了。

对了，上面第二幅图的意思大概就是：“这个程序不能在DOS的模块下运行。

”好下面我们来看一下大名鼎鼎的PE头文件。

这个就是PE头文件了，那么PE头文件到底都有什么特征呢？？？我们来看一下，首先，在一个程序载入之后，会出现一个东西，这就是标志着PE头文件的开始，到哪里才结束呢？？我们看一下PE这个字符所对应的物理地址：000000E0 我们换算到十进制就是224。

也就表明了，这个PE头文件的大小是224字节。

那么反映到物理地址后面的十六个十六进制的代码上是怎样转化的呢？？就是14行的十六进制代码。

那么为什么是224字节，又为什么是14行呢？这还要跟十六进制与十进制的转换来看。

十六进制与十进制的转换：我们就举E0这个十六进制数来举例。

我们要算十六进制，首先，我们要明确每一个字幕代表什么，在十六进制中：A是10,B是11,C是12,D是13，E是14，F是15，G是16。

我们在吧十六进制推算到十进制的时候一般用如下方法：E 016^1 16^0将这个次方数和对应的十六进制代表的数的乘积加起来就构成了原来的十进制数，如这个就是14*16^1+0*16^0=224。

免杀木马的制作与防范作者：金良磊来源：《电脑知识与技术》2008年第01期木马相信很多人都知道，而木马的确比常规病毒更狠，监控你的操作，吞噬你的隐私，破坏你的数据。

有人要问，为什么我们的计算机安装了最新的杀毒软件，每天进行各种补丁的更新升级，还有防火墙的时时保护，为什么还会中木马呢？那是因为，有一种木马叫免杀。

一、什么是免杀？免杀是个相对词，针对目前的技术而言，多数木马都不能避免会被杀毒软件监控到并杀掉的危险，于是木马的实用性就低很多。

为了能避开杀毒软件的识别，黑客们开始从木马下手，通过各种手段“重新包装”木马，让它在杀毒软件的眼皮底下蒙混过关，这就是所谓的免杀。

二、制作免杀木马下面我们来看看黑客们是通过何种方法制作完成免杀木马的：我们首先制作一个普通的灰鸽子木马服务端取名mmsetup.exe，然后登录/zh-cn/网站把mmsetup.exe灰鸽子木马服务端上传过去，通过多引擎系统中扫描，你可以发现，绝大多数的杀毒引擎都能够识别出该木马程序，木马成功率只有10%简直可以忽略了，木马也就没意义了！（如图1）同时，针对这个mmsetup.exe我们对它进行免杀设置，一般常用的免杀方法为加密代码、花指令、加壳、修改程序入口以及手工DIY PE，至于纯手工操作并不推荐，因为这种方法制作出的程序效果虽好，但太过复杂，需要很强的汇编语言基础，并对Windows内核有一定认识。

1、代码修改法MaskPE内含多种信息模块，可以方便的修改程序指令，打乱源代码，针对利用代码识别病毒的安全软件很有效果。

下载Maskpe2.0运行起来，点击“LoadFile”按钮，通过路径选择桌面上的mmsetup.exe木马，然后在“Select Information”项里选择“PE Information”项，接着点击“Make File”在新生成的木马名字里填上“mmsetup1.exe”，最后单击“保存”按钮完成木马修改。

电脑如何彻底杀毒
电脑彻底杀毒方法一
pe 系统杀毒
制作pe启动盘，ghost 系统光盘一般也会带有pe系统。

将pe 系统插入电脑，进入启动菜单或者bios ，选择u盘(如果使用光盘，则启动。

pe系统最好是带网络功能的，这样云杀毒才可以起作用。

这里使用的是“完美pe”，在启动界面选择进入pe系统。

pe 系统的桌面跟普通系统的桌面基本相同，操作简单。

进入之后，运行杀毒软件或急救箱杀毒即可。

由于pe 系统属于精简版的系统，并不是所有程序都可以在pe系统下运行。

如急救箱必须使用pe系统版本的急救箱，本人所使用的pe系统自带杀毒软件。

电脑彻底杀毒方法二
安全模式杀毒
有很多人在中毒后选择重装系统还有一个原因，是因为电脑无法正常开启，或者中了病毒后电脑中所有软件无法使用，这种情况下应该怎么杀毒呢?其实在我们的电脑中还有一个隐藏的安全模式系统，打开的方法就是在电脑按下开机键后，不停按f8选择进入【安全模式】
2 进入安全模式后，你会发现电脑界面主题什么的很像最早
windows经典版的界面，其实是在安全模式下，所有第三方驱动和病毒是无法运行的，所以在安全模式下我们就可以使用杀毒软件了，直接继续重复按上面的杀毒方法，在安全模式下杀毒即可。

分享下木马免杀的个人经验-电脑资料PE类：EXE. dll1.脱壳解密脱壳在木马免杀中由为重要！，。

所以希望大家好好学习脱壳脱壳的好坏直接影响到木马免杀效果（如果不完全脱壳，在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。

）2.定位特征码一般从大范围定位后逐渐缩小范围（字节型）（个数型）一般从生成100个数的大致定位特征码后转入字节型定位。

单一文件特征码定位：CLL MYCLL multiCCL复合文件特征码定位：MYCLL multiCCL内存特征码定位：OD（一半一半定位） MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]3.特征码修改简单的等效代码转换如下：（不过有时改后也损坏文件所以看情况）push 变popje 变jnzadd 变 subadd ecx,2 可以改为sub ecx,-2加ecx内存器＋2 减ecx内存器-2 - -2得＝2上面的等效代码用不了还是乖乖用，JMP跳转法把特征码转移4.附加数据加密算法变形这个方法已经被pcshare冰雨发布了，就是pcshare附加数据的配置信息是xor 加密的。

被杀毒定义了所以我们只要改算法 xor 值变一下就可以了！5.RAR自解压（加密）说白就是捆绑而已呵呵，不过去除右键对部分杀毒有效无法分离出木马！可以躲避查杀而且可变性比较强所以还有用武之地！*******************************************************网页木马类： JS html htm asp 等1.拆分变量，电脑资料《分享下木马免杀的个人经验》(https://www.)。

用&连接符号，拆分变量2.加入垃圾代码。

和PE免杀花指令差不多，一些无用的垃圾变量或者空格一些特殊字符或者GIF98 类似的文件头来做“花指令”呵呵！3.等值代码修改把html全部改htm 效果一样4.代码添零在记事本中加入空格，然后用16进制的编辑器（Uedit32）打开把空格对应（20）替换成（00）即可该方法运用广泛。

PE区段修改免杀比看【1】PE文件格式PE(Portable Executable)是Win32平台下可执行文件遵守的数据格式。

常见的可执行文件(如"*.exe"和"*.dll"文件)都是典型的PE文件。

一个可执行文件不光包含了二进制的机器代码，还会自带许多其他信息，如字符串、菜单、图标、位图、字体等。

PE 文件格式规定了所有的这些信息在可执行文件中如何组织。

在程序被执行时，操作系统会按照PE文件格式的约定去相应的地方准确地定位各种类型的资源，并分别装入内存的不同区域。

如果没有这种通用的文件格式约定，试想可执行文件装入内存将会变成一件多么困难的事情！PE文件格式把可执行文件分成若干个数据节(section)，不同的资源被存放在不同的节中。

一个典型的PE文件中包含的节如下。

.text 由编译器产生，存放着二进制的机器代码，也是我们反汇编和调试的对象。

.data 初始化的数据块，如宏定义、全局变量、静态变量等。

.idata 可执行文件所使用的动态链接库等外来函数与文件的信息。

.rsrc 存放程序的资源，如图标、菜单等。

除此以外，还可能出现的节包括“.reloc”、“.edata”、“.tls”、“.rdata”等。

提示：如果是正常编译出的标准PE文件，其节信息往往是大致相同的。

但这些section的名字只是位了方便人的记忆与使用，使用Microsoft Visual C++中的编译指示符#pragma data_seg()可以把代码中的任意部分编译到PE的任意节中，节名也可以自己定义。

如果可执行文件经过了“加壳”处理，PE的节信息就会变得非常“古怪”。

在Crack和反病毒分析中需要经常处理这类古怪的PE文件。

【2】虚拟内存Windows的内存可以被分为两个层面：物理内存和虚拟内存。

其中，物理内存非常复杂，需要进入Windows内核级别Ring0才能看到。

通常，在用户模式下，我们用调试器看到的内存地址都是虚拟内存。