Posted on 2007-03-10 20:17
ouyida3 阅读(242)
评论(0) 编辑 收藏 所属分类:
Delphi
PE
文件
可以分为四部分:文件头、节表、节和其他可选的一些东西
文件头包括
DOS
文件头和
PE
文件头
节表是一个数组,是节的索引,包括节的名字、属性和大小等
节的内容是一些二进制数据
PE
在内存中的映射
物理地址:
RAW Address
相对虚地址:
RVA
虚地址:
VA
物理地址=相对基点的物理地址+
RVA
与基点偏移
VA
=相对基点
VA
+
RVA
与基点偏移
VA
=
ImageBase
+
RVA