“PE文件格式”1.9版 完整译文（附注释）（3）

核心提示： 00000000000000000000000000000000;填充的00我们已经完成了，因为我们已经知道了所有的字节偏移量，“PE文件格式”1.9版 完整译文（附注释）（3）(5)，我们可以应用我们的修正到所有原先被用“？？”符号标为“未知&rdqu

　　00000000000000000000000000000000;填充的
　　00

------------

我们已经完成了。因为我们已经知道了所有的字节偏移量，我们可以应用我们的修正到所有原先被用“？？”符号标为“未知”的地址和大小了。

我将不强迫你一步一步地去读它（很好懂的），只直接给出结果来：

------------

DOS-头,开始于0x0:

　　00|4d5a0000000000000000000000000000
　　10|00000000000000000000000000000000
　　20|00000000000000000000000000000000
　　30|00000000000000000000000040000000

签名,开始于0x40:

50450000

文件头,开始于0x44:

　　Machine　　　　　　　　　　4c01　　　;i386
　　NumberOfSections　　　　　　0200　　　;代码和数据
　　TimeDateStamp　　　　　　　00000000;谁管它?
　　PointerToSymbolTable　　　　00000000;未用
　　NumberOfSymbols　　　　　　00000000;未用
　　SizeOfOptionalHeader　　　　e000　　　;常量
　　Characteristics　　　　　　0201　　　;可执行于32位机器上

可选头,开始于0x58:

　　Magic　　　　　　　　　　　0b01　　　;常量
　　MajorLinkerVersion　　　　　00　　　　　;我是0.0版:-)
　　MinorLinkerVersion　　　　　00　　　　　;
　　SizeOfCode　　　　　　　　　20000000;32字节代码
　　SizeOfInitializedData　　　a0000000;数据节大小
　　SizeOfUninitializedData　　00000000;我们没有BSS节
　　AddressOfEntryPoint　　　　a0010000;代码节的开始处
　　BaseOfCode　　　　　　　　　a0010000;代码节的RVA
　　BaseOfData　　　　　　　　　c0010000;数据节的RVA
　　ImageBase　　　　　　　　　00001000;1MB,任意选择
　　SectionAlignment　　　　　　20000000;32字节对齐
　　FileAlignment　　　　　　　20000000;32字节对齐
　　MajorOperatingSystemVersion　0400　　　;NT4.0
　　MinorOperatingSystemVersion　0000　　　;
　　MajorImageVersion　　　　　0000　　　;0.0版本
　　MinorImageVersion　　　　　0000　　　;
　　MajorSubsystemVersion　　　0400　　　;Win324.0
　　MinorSubsystemVersion　　　0000　　　;
　　Win32VersionValue　　　　　00000000;未用?
　　SizeOfImage　　　　　　　　c0000000;所有节大小的总数
　　SizeOfHeaders　　　　　　　a0010000;第一节的偏移量
　　CheckSum　　　　　　　　　　00000000;非驱动程序不须用
　　Subsystem　　　　　　　　　0300　　　;Win32控制台程序
　　DllCharacteristics　　　　　0000　　　;未用(不是一个DLL)
　　SizeOfStackReserve　　　　　00001000;1MB栈
　　SizeOfStackCommit　　　　　00100000;开始时4KB
　　SizeOfHeapReserve　　　　　00001000;1MB堆
　　SizeOfHeapCommit　　　　　　00100000;开始时4KB
　　LoaderFlags　　　　　　　　00000000;未知
　　NumberOfRvaAndSizes　　　　10000000;常量

数据目录，开始于0xb8: