pe下如何低格 pe易低格教程

1、什么是PE下的低格

PE（Portable Executable）是一种微软公司发布的可执行文件格式，常用于Windows操作系统上。在PE文件中，数据和代码被分成许多小块，被称为Section。在调试PE文件时，我们可以对Section进行调试，而低格则是一种对Section进行静态重定位的方法。

具体来说，低格会修改PE文件中的某些地址，使之指向正确的位置。这在调试时有很大的作用，可以帮助我们更好地理解程序的运行过程。

2、低格的基本原理

PE文件中，代码和数据的地址都是相对于Section自身的一个基地址来计算的。当PE文件被装载到内存中运行时，Section的基地址将会改变，需要进行重定位。

低格的基本原理就是修改PE文件中保存地址的地方，使其指向正确的位置。具体来说，低格可以将需要修改的地址分为两种情况：

1）需要指向其他Section的地址，需要减去该Section的基地址，并加上新Section的基地址；

2）需要指向PE文件中的其他数据，需要直接添加PE文件在内存中的偏移量。

3、如何实现低格

实现低格的步骤包括：

1）首先需要获取PE文件在内存中的基地址，可以使用GetModuleHandle函数来获取；

2）利用PE文件头获取所有Section的信息，分别计算它们在内存中的地址；

3）遍历PE文件中需要低格的地址，将其转换成在内存中的地址；

4）将新的地址写入PE文件中。

4、低格的使用场景

低格广泛应用于像OllyDBG、IDA等调试工具中，可以帮助我们更好地理解程序的执行过程。除此之外，低格还可以用于加壳和脱壳等场景中，帮助程序绕过壳的保护机制。

不过需要注意的是，在实际编程中，我们应该尽量避免使用低格，因为它会对程序本身造成一些影响。另外，低格只能对执行的代码进行修正，不能对静态的代码进行修正。