知识点提炼:
1. PE文件所有代码和数据都被合并在一起,组成一个很大的结构。
2. 文件内容被分割为不同区块,块中包含代码或数据。每个块都有它自己在内存中的一套属性。
3. text:指令代码 , rdata : 运行期的只读数据 , idata : 包含其他外来DLL的函数及数据信息,即输入表。 rsrc : 包含模块全部资源,如图标,菜单,位图等。
4. PE文件在磁盘上的数据结构和在内存中的数据结构是一致的。装载一个可执行文件到内存中,主要是将一个PE文件的某一部分映射到地址空间中。
5. 名词解释
- 入口点(Entry Point):程序在执行时的第一行代码的地址就应该是这个值。
- 文件偏移地址(File Offset):PE文件存储在磁盘上时,各数据的地址称作文件偏移地址。
- 虚拟地址(Virtual Address):程序访问存储器所使用的逻辑地址称为虚拟地址,也叫内存偏移地址。
- 基地址(Image Base):文件执行时被映射到指定内存地址中,这个初始内存地址称为基地址。
6. LoadPE加载,点击区段后显示,分别为块名,虚拟地址,虚拟大小,物理地址,物理大小
