Posted on 2007-03-10 20:17
ouyida3 閱讀(246)
評論(0) 編輯 收藏 所屬分類:
Delphi
PE
文件
可以分為四部分:文件頭、節表、節和其他可選的一些東西
文件頭包括
DOS
文件頭和
PE
文件頭
節表是一個數組,是節的索引,包括節的名字、屬性和大小等
節的內容是一些二進制數據
PE
在內存中的映射
物理地址:
RAW Address
相對虛地址:
RVA
虛地址:
VA
物理地址=相對基點的物理地址+
RVA
與基點偏移
VA
=相對基點
VA
+
RVA
與基點偏移
VA
=
ImageBase
+
RVA