有些人会把mz去掉，然后用某种方式补上去启动它，你说的那种方法是不可靠的。

我现在迷茫在对齐的问题上了，原先我还以为文件偏移就等于内存偏移呢，这个dos下管用。

迷糊的一踏糊涂。这个映射关系还真的很复杂呢，我是看会保护模式瞄下PE头疼的很，今天实在是受不了了编了个程序把二进制文件，用16进制打印出来，一看一个程序占的扇区数还真不少。填充的0也不少

又不是写病毒,去改他干吗?

理解了，老大

不写病毒关心它做什么

希望你能成功,呵呵

Windows下的PE是按照虚拟内存定位的，可执行代码在进程被系统装入的内存开始偏移固定的字节（这个偏移量一般是固定的，但实际上可以被编译参数修改，多数人不改而已，不过也不能排除有人会刻意改动），这样，在PE静态文件中它是从零开始的固定位置，装到内存中是相对与进程起始点的偏移位置，物理内存地址是会被操作系统随时调整的。其实，这部分内容在《Windows核心编程》中就有讲，你该看那本书，不过，如果你面向的并非仅仅是Windows，那么就要对各种实际的操作系统都要熟悉了，别的不知道。

楼主的目标就是写病毒、木马那样的东西呀，他的发展路向是黑客。有人改掉mz的原因，是因为保密，不让用户知道哪些文件其实是可执行的，这跟把数据库的结构改掉保密是一样的道理。

[ 本帖最后由 TonyDeng 于 2012-11-29 14:17 编辑 ]

你们弄错了  我才是楼主
我的目标就是解析pe 而不是写病毒 木马 更不去做黑客

还有些人把整个头都砍掉，放到别的文件中，临时再拼凑恢复运行。至于像.NET那样的，现在可以程序中临时生成PE文件直接运行，都不用放在磁盘文件上。