分析PE

      PE文件是Windows平台下可执行文件标准格式，浓缩了微软工程师的设计精华，历经40年依旧保持着原有的设计。分析PE文件对于研究Windows操作系统有着重要的实践意义，对于逆向分析有着重要的指导作用。今天我们分析一个PE文件--Alimail.exe，看看它依赖的库有哪些。

      首先用Hexworkshop工具打开Alimail.exe，注意3cH的位置，这里是PE头文件的地址:0x0118

 

 接着，我们跳往0x0118，此处为PE头文件

 

 跳往PE头文件+80H处，此处存储输入数据表地址：0x04D9D7C4

 

 

 

 

 将RVA=6a08h转化为FileOffset地址，这里我们使用LoadPE协助转化，转化后为0x04D9C5C4。跳转至04D9C5C4，此处为输出表IID数组数据所在。 我们找出IMAGE_IMPORT_DESCRIPTOR，第四个name字段，0x04D9E08C：

 

04D9E08C经过转换，获得偏移地址：0x04D9CE8C，我们可以看到ws2_32.dll