先祭出一张不是很清楚的图，实在找不到清楚的图，

所以网上随便找了张图凑合下

 

 

PE文件在磁盘中和内存中的映射关系，在磁盘中是200h对齐，在内存中是1000h（4KB）对齐，所以在内存中会变大，所以红框以上的块表被放大了，磁盘中200h是为了节省磁盘空间，

 

不够200h的用00补足（200h就是200行的16进制数，也就是512字节）

 

 

 

用图文配字表达更容易理解。。。。

Dos Header如下：

 

 

 

 

Nt Headers如下：

 

 

 

 

更多细节参考：https://fishc.com.cn/forum.php?mod=viewthread&tid=103040

 

IMAGE_OPTIONAL_HEADER32结构如下：

 

 

 

 

更多细节参考：https://fishc.com.cn/forum.php?mod=viewthread&tid=103190&highlight=%BD%E2%C3%DC%CF%B5%C1%D0

 

SectionHeaders：

 

 

 https://fishc.com.cn/forum.php?mod=viewthread&tid=103421&highlight=PE%BD%E1%B9%B9%CF%EA%BD%E25

 

 

计算IMAGE_SECTION_HEADER中的子成员VirtualAdress值如下：

 

 

 

 

 

 

 总结就是跳来跳去，各种指向，各种加加减减

 

以上均得益于“鱼C-小甲鱼”

可以在B站搜索：鱼C-小甲鱼 解密系列

论坛是：https://fishc.com.cn/

 

 

文章部分分析可能有误，欢迎斧正

 

有兴趣的可以进群交流，QQ群:542863693，主要用于手游安全分析

 

以上仅供学习，切勿用于非法用途，文章如有侵犯，请联系博文作者删除