1、数据目录一共多少个表项?
十六个,但是最后一个为保留。
2.为什么要重定位表?
因为加载基址可能变化,并且在使用PE文件时,用的地址是VA,基址改变,VA也改变,所以需要重定位。
3.为什么脱壳后要修复导入表?
因为壳在加载的时候,它修改了原PE文件的IAT,让导入表指向了自建的导入表。
4.PE那些段可以压缩?
节
5.函数转发?
#pragma comment(liner,“dll”)
6.导入表需要两个 IMAGE_THUNK_DATA 数组的原因?
函数在加载的时候,IAT被修正,里面存放真实的函数地址。
7.如何判断32还是64位?
可选头的Magic。
8.如何判断PE文件是exe还是dll?
PE文件头里的属性值Characteristic。
