chapter1 静态分析技术-08PE文件分析 PEview

1.下载PEview

peview.exe下载_peview.exe绿色版_peview.exev0.9.8.0绿色中文版-华军软件园https://www.onlinedown.net/soft/977166.htm 2.解压后打开PEview软件，打开要分析的PE文件，此处以PEview.exe自身为例

3.点击IMAGE_NT_HEADERS--->IMAGE_FILE_HEADER,可能是软件的问题，弹出以下错误信息

4.点击确定，发现只有编译时间没有显示

5.如何查看时间呢，点击上一级的IMAGE_NT_HEADERS,查看时间戳的十六进制数为4717F5BB

 6.通过计算机转换，可以得到UTC值=1192752571

7.通过在线网站转化UTC时间为2007-10-19 08:09:31

链接如下 ：时间戳在线转换工具-Unix时间戳转换-在线工具 - 阿里云时间戳转换工具为您提供时间戳,时间戳转换工具,java时间戳,php时间戳,mysql时间戳,js等，可以把当前时间,时间戳转换器,时间戳转换成时间。https://developer.aliyun.com/skills/timestamp.html

 8.IMAGE_OPTIONAL_HEADER显示 Subsystem=IMAGE_SUSBYSTEM_WINDOWS_GUI，即在windows系统下运行的GUI界面

9.查看 Section_header code 内容，virtual size (需分配的内存大小)和size of raw data对比，正常的文件二者差别不大，加壳的文件（以Lab01_02.exe为例）virtual size 远大于size of raw data