手动构造PE文件

很早以前就拜读了A1Pass得手工构造PE文件一文，可是一直没有去动手实践下，寒假本来想写个PE分析工具结果愣是发现自己PE结构都忘得毛都没了。。。so 蛋疼

今天就参考该文来自己手动构造一个。

这里先提个问题，WinMain函数是符合_stdcall调用约定的，我们都知道winmain接收四个参数，这四个参数的堆栈是有谁来清理呢？理论上应该是系统吧，但是调试程序最后总会发现个

00401000 >/$  33C0          XOR EAX,EAX
00401002  \.  C2 1000       RETN 10

关于系统知识还是了解的太少，求指教。

就照着一张PE结构图写，不会的就去查，在狠点直接写个现成的程序十六进制编辑下照着填。。。

写入代码的大小 19h

00401000 >/$  6A 00           PUSH 0                                   ; /Style = MB_OK|MB_APPLMODAL
00401002  |.  68 08304000     PUSH hello_wo.00403008                   ; |Title = "Evil0r"
00401007  |.  68 00304000     PUSH hello_wo.00403000                   ; |Text = "hello"
0040100C  |.  6A 00           PUSH 0                                   ; |hOwner = NULL
0040100E  |.  FF15 00204000   CALL DWORD PTR DS:[<&USER32.MessageBoxA>>; \MessageBoxA
00401014  |.  33C0            XOR EAX,EAX
00401016  \.  C2 1000         RETN 10

就是在C32里面输入16进制，好烦，要有耐心。我弄完之后看了下大小是2K，三个区段，文件对其200h，实现弹出一个对话框。好歹又熟悉了下PE啊。。。

补图。

关于有几个字段的意思还不是很懂要记得去查，吃饭去了，老妈烦死了。