windows PE+可执行文件中存在BaseOfCode

ewm0tg9j 于 2023-11-21 发布在 Windows

关注(0)|答案(1)|浏览(186)

MS文档中说BaseOfCode值只存在于PE文件中，而不存在于PE+中。使用dotPeek和PE Viewer查看notepad.exe似乎表明BaseOfCode存在并被使用。

0 1  2 3  4 5  6 7  8 9  A B  C D  E F
0x00E0 | 5045 0000 6486 0600 6a98 8957 0000 0000
0x00F0 | 0000 0000 f000 2200 0b02 0e00 0086 0100
0x0100 | 004e 0200 0000 0000 d087 0100 0010 0000

字符串
0x00F8处的两个字节表示这是一个PE+报头。BaseOfCode是0x010C处的四个字节。
是文档（和我自己）不正确还是dotPeek和PE View不正确？
这些字节没有被清零的事实意味着这些字节在某种程度上是有意义的。

windows

来源：https://stackoverflow.com/questions/52187772/baseofcode-present-in-pe-executable

1条答案

按热度按时间

pgccezyw1#

区别在于BaseOfData。它存在于PE 32（PE）上，而不是PE 64（PE+）上。

赞(0）回复(0）举报 2023-11-21

我来回答

windows PE+可执行文件中存在BaseOfCode

1条答案

相关问题

热门标签

最新问答