摘要： PE的加载从文件到内存有一个拉伸的过程，拉伸的原因是因为PE在文件中的对齐字节和在内存中的对齐字节可能不一样（文件对齐字节<=内存对齐字节，为了节省磁盘空间，目前的pe文件大部分文件和内存对齐字节都是一样的）。文件对齐字节在可选PE头里： _IMAGE_OPTIONAL_HEADER: 32 4 S 阅读全文