PE是win系统下的一种执行文件格式;在win64位系统下叫‘PE+’,只是将32位字段扩展成了64位字段。
PE格式的定义主要位于winnt.h头文件中
下图PE格式表:
PE装载器(又叫win加载器):遍历PE文件并决定那一部分被映射到内存;高的文件地址映射到高的内存地址
下图为内存地址映射图:
基地址:文件最开始的地址叫做基地址,偏移地址都是从0开始
相对虚拟地址:映射到内存中每一个区块的相对基地址位置。
文件偏移地址:就是文件在磁盘中的偏移位置
DOS头部:每一个PE文件执都是以DOS头部开始执行;DOS程序才能识别出这是可执行程序