PE:
protable execute;
任何文件在註冊表中都會有一個對應的閱讀器
閱讀器完成對文件內容的解析
windows pe 加載器用來解析pe文件;
開頭
IMAGE_DOS_HEADER
+3CH 指向pe頭
IMAGE_NT_HEADERS(PE頭)
pe文件被加載後,文件讀到內存中,基址指的是pe文件被讀取到內存中時的
輸入表
指示當前pe文件所使用的外部API或函數
RVA:應用程序被加載到內存中的地址
每個區段有幾個重要屬性
1. 內存中的地址VA
2. 內存中的大小VSIZE
3. 文件中的地址
4. 文件中的大小
輸出表