PE文件格式（1）

核心提示： IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG(10)Loadconfiguration目录IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT(11)Boundimportdirectory目录IMAGE_DIRECTORY_ENTRY_IAT(12)

IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG(10)Loadconfiguration目录　　

IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT(11)Boundimportdirectory目录　　

IMAGE_DIRECTORY_ENTRY_IAT(12)ImportAddressTable输入地址表目录

例如，如果我们找到索引7的2个值0x12000和33,加载地址是0x10000,我们知道版权数据是在0x10000+0x12000，版权字数为33。如果一个特定类型的目录没有被使用，地址和尺寸都为0。

节目录Sectiondirectories

-------------------

节包含2个部分：节头IMAGE_SECTION_HEADER，节数据。在数据目录之后，我们看到一个具有NumberOfSections个节头成员的数组，按RVA排序。

节头包括：

IMAGE_SECTION_HEADERSTRUCT
　　 Name1dbIMAGE_SIZEOF_SHORT_NAMEdup(?)
　　 unionMisc
　　　　 PhysicalAddressdd　?
　　　　 VirtualSizedd　　　?
　　 ends
　　 VirtualAddressdd　　　?
　　 SizeOfRawDatadd　　　　?
　　 PointerToRawDatadd　　?
　　 PointerToRelocationsdd?
　　 PointerToLinenumbersdd?
　　 NumberOfRelocationsdw　?
　　 NumberOfLinenumbersdw　?
　　 Characteristicsdd　　　?
IMAGE_SECTION_HEADERENDS

IMAGE_SIZEOF_SHORT_NAME(8)个字节的数组，组成节的名字。如果所有8个字节被用掉，没有0做为结尾。典型的名字如".data"或者".text"或者".bss".没有必要前导'.',可以是是"CODE"或"IAT".注意名字不全部跟节内容有关。一个".code"节可能或没有可能包括可执行代码，可能只包括输入地址表。可能包含代码和地址表和初始化数据。要找到在节内的信息，必须通过“可选头”内的数据目录查找他们。不要依赖名字，不要假定节的原始数据起始于节的开始。