PE +可执行文件中存在BaseOfCode

时间:2018-09-05 14:37:41

标签: windows jetbrains-ide portable-executable coff

MS documentation表示BaseOfCode值仅存在于PE文件中,而不存在于PE +中。用dotPeek和PE Viewer查看notepad.exe似乎表明BaseOfCode存在和被消耗。

       0 1  2 3  4 5  6 7  8 9  A B  C D  E F
0x00E0 | 5045 0000 6486 0600 6a98 8957 0000 0000
0x00F0 | 0000 0000 f000 2200 0b02 0e00 0086 0100
0x0100 | 004e 0200 0000 0000 d087 0100 0010 0000

0x00F8处的两个字节表示这是一个PE +头。 BaseOfCode0x010C的四个字节。

文档(和我本人)是否不正确,或者是dotPeek和PE View 不正确?

这些字节没有被清零的事实意味着它在某些方面是重要的。

0 个答案:

没有答案
相关问题
最新问题