講到逆向，更多的人都是考慮到既然是逆向那就應該反著來推或者相反，其實則不然，這里我們要講的是為了更深入的研究windows編寫機制，更好的研究他們的安全，誰讓微軟這么保守雖然曾經(jīng)流出過windows的部分代碼，但是還是有更多的秘密值得我們?nèi)ド钔冢刻於加行碌陌l(fā)現(xiàn)，做為逆向分析的第一步，我們首先來學習下什么是pe文件？

針對pe的認識

PE是Portable Executable File Format（可移植的執(zhí)行體）簡寫，它是目前Windows平臺上的主流可執(zhí)行文件格式。

Pe的文件格式

PE("portable executable")文件格式是針對MS windows NT, windows 95 and win32s的可執(zhí)行二進制代碼(DLLs and programs) 。在windows NT內(nèi), 驅動程序也是這個格式，也可以用于對象文件和庫。

這個格式是Microsoft設計的，并在1993經(jīng)過TIS (tool interface standard)委員會(Microsoft, Intel, Borland, Watcom, IBM等)標準化。它基于在UNIX和VMS上運行的對象文件和可執(zhí)行文件的COFF"common object file format"格式。

Pe格式結構圖

以上就是逆向分析的第一課程，有關pe的認識。下面我們接著將軟件的保護甲——殼。