本博客所有内容都是转的前辈们的

本系列主要是参考英文原本ARTeam的PE File Format Tutorial并加以注解，以最简洁的语言来阐述PE格式，帮助大家快速入门。在开始之前，请确定您懂得C语言，至少是基本数据类型、数组和结构体，以及会WinHEX的基本使用方法。任何错误都欢迎指出，感激不尽！（一）介绍PE 格式    PE格式（Portable Executable，可移植可执行文件）是原生的Win32

（六）区段与区段表前面花了很大的力气终于把复杂的PE header讲完了，在PE header紧接着的就是区段表(Secton Table)，所谓的紧接着，就是一个字节也不差的意思，^_^         还记得么？我们在很前面讲File header时，里面一个成员就是NumberOfSections，就是区段的个数，是７个，那么对应的区段表中的表项也应当有７项。        

1.文件偏移地址 (File Offest)数据在PE文件中的地址叫文件偏移地址,个人认为叫做文件地址更加准确.这是文件在磁盘上存放时相对文件开头的偏移.2.装载地址 (Image Base)PE装入内存时的基地址.默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件是0x10000000.这些位置可以通过修改编译选项更改.3.虚拟内存地

1 基本概念下表描述了贯穿于本文中的一些概念：名称描述地址是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢？因为数据在内存的位置经常在变，这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”，因为系统自己会为程序准备好内存空间的（只要内存足够大）镜像文件包含以EXE文件为代表的“可执行文件”、

关键： typedef struct _IMAGE_IMPORT_DESCRIPTOR {union {DWORD Characteristics;DWORD OriginalFirstThunk;// 指向一个 IMAGE_THUNK_DATA 结构数组的RVA}DWORD TimeDateStamp;// 文件生成的时间DWORD Forward