计算机病毒与木马防护 课中：任务讲解与实施 4.PE文件格式实验指导书(文档附件).docx

实验指导书 项目标号 1 项目名称 PE文件格式实验 学时 2 实验目的 通过实验，了解PE文件结构及其运行原理 实验原理 PE文件格式及原理 实验环境 VMware Workstation 10 Windows XP 实验内容 通过运行PE程序了解PE文件原理 实验步骤： 打开虚拟机，点击“开始”→“所有程序”，点击“Microsoft Visual Studio 6.0”，选择“Microsoft Visual C++ 6.0”，如图所示： 弹出主界面，如下图所示： 将源代码文件夹拷贝到虚拟机中，点击“文件”→“打开工作区： 在“Open Workspace”对话框中选择文件夹下的文件，点击“打开”，如图所示： 点击“编译”→“运行winpe.exe”，如图所示： 弹出Winpe的主界面，如下图所示： 点击“file”→“open”，选择可执行文件，点击“打开”： 在winpe.exe的主界面可以查看加载的exe文件的内部结构，如图所示： 其中，文件的文件头标志为“MZ”，接下来说明这个文件只能在win32下运行，最后表明该文件是PE文件格式。 点击“views”→“imports”，查看引入表： 点击“views”→“exports”，查看引出表： 点击“views”→“headers”，查看文件头： 点击“views”→“sectnTbl”，查看节表： 点击“views”→“debugdir”，查看coff： 点击“views”→“resources”，查看资源：