P40PE头解析_手动

PE为什么是分节存储:
1、节省硬盘空间
2、节省内存

老式 硬盘对齐:200h 内存对齐:1000h 内存拉伸
对齐会使运行变快
对开:比如qq qq小号
块表:节表 存放概要性特征
整个exe的特征存放在PE文件头(主要)和DOS头
1 DOS头 64字节
WORD e_magic["MZ头"]
DWORD e_ifanew【PE文件头地址】对应的字符就是pe开始的地方 中间缓存的是垃圾(不是
2 标准PE头
WORD Machine
WORD NumberOfSections
DWORD TimeDateStamp
DWORD SizeOfOptionalHeader
WORD Characteristics
3 可选PE头
WORD Magic
DOWRD SizeOfCode
DOWRD SizeOfInitializedData
DOWRD SizeOfUninitializedData
DWORD AddressOfEntryPonit
DWORD BaseOfCode
DWORD BaseOfData
DWORD ImageBase
DWORD SectionAlignment
DWORD FileAlignment
DWORD SizeOfImage
DWORD SizeOfHeaders
DWORD CheckSum
DWORD SizeOfStackReserve
DWORD SizeOfStackCommit
DWORD SizeOfHeapReserve
DWORD SizeOfHeapCommit

posted @ 2023-03-16 15:19  摸鱼小曹  阅读(19)  评论(0编辑  收藏  举报