+- WeHack BBS (https://bbs.wehack.space)
+-- 版块: 计算机技术 (https://bbs.wehack.space/forum-5.html)
+--- 版块: 逆向工程讨论区 (https://bbs.wehack.space/forum-9.html)
+--- 主题: 微软的PE格式文档 (/thread-48.html)
微软的PE格式文档 - vimacs - 07-27-2018
https://docs.microsoft.com/en-us/windows/desktop/debug/pe-format
应该算是官方的spec文档了。照着它写一个PE parser应该是没问题的。
今天逆向一个20年前的老游戏,发现里面的section header的每个节的虚拟地址大小居然都是0,导致radare2没法正常做地址转换,刚刚提交了个patch.
RE: 微软的PE格式文档 - vimacs - 07-29-2018
刚刚修复了radare2处理PE文件的另一个问题,EFI模块里面的SectionAlignment是小于4K的,而且SectionAlignment只是指定虚拟地址的对齐,而r2的做法却是去修改vsize.