BaseOfCode присутствует в PE+ исполняемый файл

Question

BaseOfCode присутствует в PE+ исполняемый файл

Документация MS говорит, что BaseOfCode значение присутствует только в PE файлах, но не в PE+. Смотря на notepad.exe с dotPeek и с PE Viewer, кажется, указывает на то, что BaseOfCode присутствует и потребляется.

       0 1  2 3  4 5  6 7  8 9  A B  C D  E F
0x00E0 | 5045 0000 6486 0600 6a98 8957 0000 0000
0x00F0 | 0000 0000 f000 2200 0b02 0e00 0086 0100
0x0100 | 004e 0200 0000 0000 d087 0100 0010 0000

Два байта в 0x00F8 означает, что это заголовок PE+. BaseOfCode это четыре байта в 0x010C,

Является ли документация (и я) неверной или dotPeek и PE View неверны?

Тот факт, что эти байты не обнуляются, подразумевает, что байты в некотором смысле значимы.

0

windows jetbrains portable-executable coff

Источник

user442351 05 сен '18 в 14:37

0 ответов

Другие вопросы по тегам windows jetbrains portable-executable coff