通过https://www.cnblogs.com/zpchcbd/p/12308184.html的介绍
大家也知道了节数据跟节数据之间,都是根据文件对齐存放的
PE文件有两种状态,一种是在硬盘中的状态,一种是在内存中的状态,上篇文章讲的都是硬盘中存放的时候的状态
例如下图:
在文件中我们的对齐是按照 0x200存放的. 而在内存中就是按照0x1000.假设是1000. 多余的地方补0
我们 的DOS部分 + PE头 + 节表,按照文件对齐之后存放着,节的数据是从400开始
但是在内存中就不一样了. 如果按照0x1000对齐.那么在内存中就是1000位置开始是节数据了,0x1000取决于_IMAGE_OPTIONAL_HEADER
结构体中的SectionAlignment
成员,如下图所示,0x1000才开始!