[求助]关于PE文件格式的一个迷惑的地方-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
demonking 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	demonking 2 楼我问过同样的问题，但没得到准确的答案。 Matt Pietrek在探索PE文件内幕中讲.BSS节的时候提到：在节表中，.bss节中的RawDataOffset域被设置为0，这表明这个节不占用文件的任何空间。TLINK并不生成这个节。它通过扩展DATA节的虚拟大小来代替。目前我找到的最贴边的答案。 2008-5-17 22:36 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 5 关注私信	dummy 23 3 楼真正的大小是对齐后的大小。对齐后 VirtualSize>=SizeOfRawData 2008-5-17 23:19 0
tycp 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 80 粉丝 0 关注私信	tycp 4 楼我想起来了这个VirtualSize 应该是可有可无的东西吧！ 2008-5-18 00:10 0
tycp 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 80 粉丝 0 关注私信	tycp 5 楼在网上查找了一下有高手说VirtualSize 是节对齐前的大小，而SizeOfRawData是节对齐后的大小但是事实表明 VirtualSize > SizeOfRawData 我在想是不是这样的。VirtualSize 是节对齐前的大小，在文件中时VirtualSize<SizeOfRawData 但当加载到内存中时，由于磁盘和内存对齐单位不同的原因，导致 VirtualSize > SizeOfRawData ！加载器会修改VirtualSize的值吗？ 2008-5-18 00:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
demonking 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	demonking 2 楼我问过同样的问题，但没得到准确的答案。 Matt Pietrek在探索PE文件内幕中讲.BSS节的时候提到：在节表中，.bss节中的RawDataOffset域被设置为0，这表明这个节不占用文件的任何空间。TLINK并不生成这个节。它通过扩展DATA节的虚拟大小来代替。目前我找到的最贴边的答案。 2008-5-17 22:36 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 5 关注私信	dummy 23 3 楼真正的大小是对齐后的大小。对齐后 VirtualSize>=SizeOfRawData 2008-5-17 23:19 0
tycp 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 80 粉丝 0 关注私信	tycp 4 楼我想起来了这个VirtualSize 应该是可有可无的东西吧！ 2008-5-18 00:10 0
tycp 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 80 粉丝 0 关注私信	tycp 5 楼在网上查找了一下有高手说VirtualSize 是节对齐前的大小，而SizeOfRawData是节对齐后的大小但是事实表明 VirtualSize > SizeOfRawData 我在想是不是这样的。VirtualSize 是节对齐前的大小，在文件中时VirtualSize<SizeOfRawData 但当加载到内存中时，由于磁盘和内存对齐单位不同的原因，导致 VirtualSize > SizeOfRawData ！加载器会修改VirtualSize的值吗？ 2008-5-18 00:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]关于PE文件格式的一个迷惑的地方 0.00雪花