PE文件结构(待完善)
2019-03-10 本文已影响5人
萍水间人
IMAGE_DOS_HEADER(MZ文件头)
总共0x40个字节, 也就是前4行
最后一个字段比较重要, 占据了4 个字节
MS-DOS Stub Program
IMAGE_NT_HEADERS
前两个字节标识PE
这一部分的起始地址就是IMAGE_DOS_HEADER的最后一个字段的值
Signature (占4个字节)
IMAGE_FILE_HEADER(占 14H 个字节)
打开这个字段会报错
字段分布说明如下
映像文件头结构
IMAGE_OPTIONAL_HEADER
第一条指令的地址 = Adddress of entry point + Image Base
几个概念
ImageBase
PE文件在内存中的优先装载地址
对齐粒度
问题来了
文件中节对齐的粒度是0x200
内存中节对齐的粒度是0x1000
