PE文件格式（1）

核心提示： 于是为了找到一个特殊的RVA指向的信息，你必须计算偏移量好象文件被加载一样，PE文件格式（1）(6)，假如知道执行起点在RVA0x1560,想从这反汇编代码，要找到文件内的地址，包含关于如何精确处理PE文件的信息，从上到下介绍成员，你必须找出在RAM内的按照4096对齐的节，".

于是为了找到一个特殊的RVA指向的信息，你必须计算偏移量好象文件被加载一样。假如知道执行起点在RVA0x1560,想从这反汇编代码。要找到文件内的地址，你必须找出在RAM内的按照4096对齐的节，".code"节自内存RVA0x1000开始，16384字节长，你知道RVA0x1560的偏移量在那个节内是0x560.找出节在文件内按照512字节对齐，且".code"从0x800开始，那么在文件内的代码执行起点是0x800+0x560=0xd60。

然后反汇编，并发现一个存取地址0x1051d0处的变量.线性地址在加载执行文件时重新分配，并给出优先加载地址。你发现优先加载地址是0x100000,于是我们处理RVA0x51d0.这是一个开始于RVA0x5000的数据区，2048字节长。它开始于文件偏移量0x4800.变量可以在文件偏移量0x4800+0x51d0-0x5000=0x49d0处发现。

可选头OptionalHeader

---------------

紧跟在文件头的后面是IMAGE_OPTIONAL_HEADER，尽管名字是可选，实际一直存在。包含关于如何精确处理PE文件的信息。从上到下介绍成员。

IMAGE_OPTIONAL_HEADER32STRUCT
　 Magic　　　　　　　　　　　　WORD　　　?
　 MajorLinkerVersion　　　　　　BYTE　　　?
　 MinorLinkerVersion　　　　　　BYTE　　　?
　 SizeOfCode　　　　　　　　　　DWORD　　　?
　 SizeOfInitializedData　　　　DWORD　　　?
　 SizeOfUninitializedData　　　DWORD　　　?
　 AddressOfEntryPoint　　　　　DWORD　　　?
　 BaseOfCode　　　　　　　　　　DWORD　　　?
　 BaseOfData　　　　　　　　　　DWORD　　　?
　 ImageBase　　　　　　　　　　DWORD　　　?
　 SectionAlignment　　　　　　　DWORD　　　?
　 FileAlignment　　　　　　　　DWORD　　　?
　 MajorOperatingSystemVersion　WORD　　　?
　 MinorOperatingSystemVersion　WORD　　　?
　 MajorImageVersion　　　　　　WORD　　　?
　 MinorImageVersion　　　　　　WORD　　　?
　 MajorSubsystemVersion　　　　WORD　　　?
　 MinorSubsystemVersion　　　　WORD　　　?
　 Win32VersionValue　　　　　　DWORD　　　?
　 SizeOfImage　　　　　　　　　DWORD　　　?
　 SizeOfHeaders　　　　　　　　DWORD　　　?
　 CheckSum　　　　　　　　　　　DWORD　　　?
　 Subsystem　　　　　　　　　　WORD　　　?
　 DllCharacteristics　　　　　　WORD　　　?
　 SizeOfStackReserve　　　　　　DWORD　　　?
　 SizeOfStackCommit　　　　　　DWORD　　　?
　 SizeOfHeapReserve　　　　　　DWORD　　　?
　 SizeOfHeapCommit　　　　　　　DWORD　　　?
　 LoaderFlags　　　　　　　　　DWORD　　　?
　 NumberOfRvaAndSizes　　　　　DWORD　　　?
　 DataDirectory　　　　　　　　IMAGE_DATA_DIRECTORYIMAGE_NUMBEROF_DIRECTORY_ENTRIESdup(<> )
IMAGE_OPTIONAL_HEADER32ENDS
IMAGE_OPTIONAL_HEADER　equ　<IMAGE_OPTIONAL_HEADER32>

第1个16位字是'Magic'，总是0x010b.