P47扩大节-合并节-数据目录

合并节：
法一：sizeofimage-第一个节RVA
法二：最后一个节RVA-在内存中对齐后的头

扩大节：
1、拉伸到内存
2、分配一块新的空间：SizeOfImage + Ex
3、将最后一个节的SizeOfRawData和VirtualSize改成N
SizeOfRawData = VirtualSize = N
N = (SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex
4、修改SizeOfImage大小
SizeOfImage = SizeOfImage + Ex

合并节：

1、拉伸到内存
2、将第一个节的内存大小、文件大小改成一样
Max = SizeOfRawData>VirtualSize?SizeOfRawData:VirtualSize
SizeOfRawData = VirtualSize = 最后一个节的VirtualAddress + Max - SizeOfHeaders内存对齐后的大小
3、将第一个节的属性改为包含所有节的属性
4、修改节的数量为1

数据目录：

1、我们所了解的PE分为头和节，在每个节中，都包含了我们写的一些代码和数据，但还有一些非常重要
的信息是编译器替我们加到PE文件中的，这些信息可能存在在任何可以利用的地方。

2、这些信息之所以重要，是因为这些信息包含了诸如：
PE程序的图标在哪里？
用到了哪些系统提供的函数？
为其他的程序提供哪些函数？

3、编译器添加了这么多信息，那程序是如何找到这些信息的呢？
答案就是：数据目录

4、数据目录定位：

可选PE头最后一个成员，就是数据目录.一共有16个:

typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress; //内存偏移
DWORD Size; //大小
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16

　　

分别是：导出表、导入表、资源表、异常信息表、安全证书表、重定位表、调试信息表、版权所以表、全局指针表
TLS表、加载配置表、绑定导入表、IAT表、延迟导入表、COM信息表 最后一个保留未使用。
和程序运行时息息相关的表有：
导出表
导入表
重定位表
IAT表