PE中的两种状态

Posted zpchcbd

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PE中的两种状态相关的知识,希望对你有一定的参考价值。

通过https://www.cnblogs.com/zpchcbd/p/12308184.html的介绍

大家也知道了节数据跟节数据之间,都是根据文件对齐存放的

PE文件有两种状态,一种是在硬盘中的状态,一种是在内存中的状态,上篇文章讲的都是硬盘中存放的时候的状态

例如下图:

技术图片

在文件中我们的对齐是按照 0x200存放的. 而在内存中就是按照0x1000.假设是1000. 多余的地方补0

我们 的DOS部分 + PE头 + 节表,按照文件对齐之后存放着,节的数据是从400开始

但是在内存中就不一样了. 如果按照0x1000对齐.那么在内存中就是1000位置开始是节数据了,0x1000取决于_IMAGE_OPTIONAL_HEADER结构体中的SectionAlignment成员,如下图所示,0x1000才开始!

技术图片

以上是关于PE中的两种状态的主要内容,如果未能解决你的问题,请参考以下文章

PE知识复习之PE的RVA与FOA的转换

如何理解这段代码片段中的两对括号?

一个菜单项可在 WatchKit 上下文菜单中的两种状态之间切换

使用mybatis的两种方式

创建线程的两种方式

状态转换图的两种实现方法