PE文件解析

PE结构图


工具101editor

文件实列

0-30h为DOS header
40-F0h为DOS STUB
100-1F0h为PE_HEADER
200-2B0h为SECTION_HEADER

**虚拟地址：**文件加载到内存中，每个进程都有自己的4GB，这个4GB当中的某个位置叫做虚拟地址
基地址：文件加载到内存当中可以加载到任意位置，而这个位置就是程序的基址，EXE默认基址时0x4000000h，基址不是程序入口

IMAGE_NT_HEADER STRUCT
{
	+0H		DWORD Signature
	+4h		IMAGE_FILE_HEADER FileHeader
	+18h 	IMAGE_OPTIONAL_HEADER32 OptionalHeader
}IMAGE_NT_HEADERS ENDS

FileHeader:记录文件属性

其中的struct FILE_CHARACTERISTICS Characteristics记录了部分文件属性重定位信息，是否为可执行文件，

**OptionalHeader：**重要

SECTION_HEADER结构体信息

studyPE+下载
专门解析PE文件，比010好用