問題タブ [portable-executable]

が PE 形式で指定されていることを学んだばかりImageBaseで、OS はそれを の正確な位置にロードします.EXE。次に質問があります。

2 つ.EXEが同じImageBase場所を必要とする場合はどうなりますか?

1. エントリポイントが常にコードセクションに属しているというのは本当ですか？
2. コードセクションは連続していますか、それともいくつかのブロックに分割されていますか？

この回答は、Linuxでバイナリファイルを作成する方法を提供しました.Windows用の便利なツールはありますか?

It seems both of them can dump the contents of a binary file,

then what's the difference?

常にコードセクションの最下位アドレスにありますか?

IMO、これは保持する必要があります：

グラフに当てはまらないのはなぜですか?

上記のグラフから、セクションがあることがわかります9が、なぜ最初のグラフにそれが表示されているの0900ですか?

PE形式で数値を読み取る方法は?

セクションの配置からファイルの配置に変換する手順は次のとおりです。

1. データのRVAを見つける
2. RVAから、参照されるデータが属するセクションを導出します。セクションが重ならないため、これは簡単です。さまざまなセクションの開始アドレスは、ファイルヘッダーにあります。
3. RVAとセクションの開始アドレスの違いを見つけて、データオフセット、つまりセクション内のそのデータのオフセットを見つけます。
4. ファイルヘッダーから、同じセクションについて、ファイル内の同じセクションの場所を見つけます。
5. ファイル内のセクションの場所にデータオフセットを追加して、ファイル内のデータのアドレスを見つけます。

しかし、私はそれを理解していません、誰かがより詳細に詳しく説明できますか？

最近まで、MSDOSはバイナリ実行可能ファイルにもPEを使用していると思っていました。

PEイメージファイルは、MSDOSスタブで始まります。これは、プログラムをMS DOSで実行すると、MS DOSをクラッシュさせるのではなく、適切なエラーメッセージ（プログラムはWindowsで実行する必要がある）を表示するために使用されました。

つまり、PEはMS DOS用ではないということですが、それではどうでしょうか。

PointerToSymbolTable :

COFF シンボル テーブルのファイル オフセット、または COFF シンボル テーブルが存在しない場合はゼロ。デバッグ情報が減価償却されるため、PE イメージ ファイルの場合は 0 です。

PE イメージのデバッグ情報が減価償却されていると表示されるのはなぜですか? AFIAK、Windows の実行可能ファイルもデバッグ情報を運ぶことができますが、そうではありませんか?