雷火电竞官网-中国知名电竞赛事平台

　　PE文件讀寫工具是一款可以幫助我們進行PE文件處理的電腦工具，該工具綠色免安裝，解壓即可進行使用，有了它，我們就可以非常輕松的查看PE文件的結構，并且還能對文件的各種信息進行編輯和標注，目前該版本上的功能還不是很完善，未來將更新出更多功能，大家拭目以待。

【相關介紹】

　　PE文件是windows系統中遵循PE結構的文件，比如以.exe .dll為后綴名的文件以及系統驅動文件。

　　PE文件大體分為兩部分，頭(包括下圖中的DOS頭，PE文件頭，塊表)與主體(塊)。

　　PE文件從磁盤當中像內存中的映射，不是簡單的“1對1”的關系，而是“拉長”了。具體的位置表現在塊。但是磁盤上的數據結構與在內存中的結構是一致的。

　　無論PE文件在磁盤中還是在內存中，都少不了地址的概念，理解一下幾個概念至關重要。

　　虛擬地址(VA)： 在一個程序運行起來的時候，會被加載到內存中，并且每個進程都有自己的4GB，這個4GB當中的某個位置叫做**虛擬地址**，由物理地址映射過來的，4GB的空間，并沒有全部被用到。

　　基地址(Imagebase):磁盤中的文件加載到內存當中的時候可以加載到任意位置，而這個位置就是程序的基址。EXE默認的加載基址是400000h,DLL文件默認基址是10000000h。需要注意的是基地址不是程序的入口點。

　　相對虛擬地址(RVA):為了避免PE文件中有確定的內存地址，引入了相對虛擬地址的概念。RVA是在內存中相對與載入地址(基地址）的偏移量，所以你可以發現前三個概念的關系：虛擬地址(VA)= 基地址+相對虛擬地址(RVA)

　　文件偏移地址(FOA)：當PE文件儲存在某個磁盤當中的時候，某個數據的位置相對于文件頭的偏移量。

　　入口點(OEP)：首先明確一個概念就是OEP是一個RVA，然后使用OEP +Imagebase ==入口點的VA，通常情況下，OEP指向的不是main函數。

【常見問題】

　　PE文件是什么：

　　PE文件的全稱是Portable Executable，意為可移植的可執行的文件，常見的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微軟Windows操作系統上的程序文件（可能是間接被執行，如DLL）

　　PE文件是指32位可執行文件，也稱為PE32。64位的可執行文件稱為PE+或PE32+,是PE(PE32)的一種擴展形式（請注意不是PE64)。