PE:
protable execute;
任何文件在注册表中都会有一个对应的阅读器
阅读器完成对文件内容的解析
windows pe 加载器用来解析pe文件;
开头
IMAGE_DOS_HEADER
+3CH 指向pe头
IMAGE_NT_HEADERS(PE头)
pe文件被加载后,文件读到内存中,基址指的是pe文件被读取到内存中时的
输入表
指示当前pe文件所使用的外部API或函数
RVA:应用程序被加载到内存中的地址
每个区段有几个重要属性
1. 内存中的地址VA
2. 内存中的大小VSIZE
3. 文件中的地址
4. 文件中的大小
输出表