WolvenSec的博客

在所有节的空白区域都不够存放我们想要添加的数据时，这个时候可以通过添加节来扩展我们可操作的空间去存储新的数据（如导入表、代码或资源）。

①。

在 PE（Portable Executable）文件结构中，是 PE 文件的重要组成部分之一，位于 PE 头之后。节表记录了各节的虚拟地址、大小、节在 PE 文件中的实际大小和节属性等内容，用于定义程序在内存中的逻辑布局，操作系统加载 PE 文件时，根据节表将不同节的数据映射到正确的内存区域；定义了各节的属性，如是否可执行、可读、可写等，操作系统会根据这些属性对相应内存区域进行保护。在调试过程中，节表可以用来定位代码和数据在文件和内存中的位置，辅助调试器解析程序结构。

RVA，全称为Relative Virtual Address（相对虚拟地址），是PE（Portable Executable，可移植执行文件）格式中用于指定地址的一种方式。在PE文件中，RVA是一种相对于PE文件的基地址（ImageBase）的偏移量，用于在内存中定位各个部分（如代码、数据、资源等）的位置。基地址（ImageBase）子系统是操作系统提供的环境，用于支持不同类型的程序。PE 文件中的子系统信息决定了程序将运行在什么样的环境中。

（Portable Executable File）是Windows操作系统下可执行文件使用的一种文件格式，广泛用于存储可执行程序（EXE文件）、动态链接库（DLL文件）、驱动程序（SYS文件）以及其他类型的程序代码，它是Windows应用程序的基本运行单元。PE文件结构是经过精心设计的，以支持程序在不同版本的Windows操作系统上能够移植、执行，并能与操作系统的加载机制和动态链接功能兼容。事实上，在Windows上，文件的拓展名并不直接决定文件是否是PE（Portable Executable）文件。