PE结构图
工具101editor
文件实列
0-30h为DOS header
40-F0h为DOS STUB
100-1F0h为PE_HEADER
200-2B0h为SECTION_HEADER
**虚拟地址:**文件加载到内存中,每个进程都有自己的4GB,这个4GB当中的某个位置叫做虚拟地址
基地址:文件加载到内存当中可以加载到任意位置,而这个位置就是程序的基址,EXE默认基址时0x4000000h,基址不是程序入口
IMAGE_NT_HEADER STRUCT
{
+0H DWORD Signature
+4h IMAGE_FILE_HEADER FileHeader
+18h IMAGE_OPTIONAL_HEADER32 OptionalHeader
}IMAGE_NT_HEADERS ENDS
FileHeader:记录文件属性
其中的struct FILE_CHARACTERISTICS Characteristics记录了部分文件属性重定位信息,是否为可执行文件,
**OptionalHeader:**重要
SECTION_HEADER结构体信息
studyPE+下载
专门解析PE文件,比010好用
