MS 文档说该值BaseOfCode仅存在于 PE 文件中,而不存在于 PE+ 中。使用dotPeeknotepad.exe和 PE 查看器查看似乎表明BaseOfCode存在并已使用。
0 1 2 3 4 5 6 7 8 9 A B C D E F
0x00E0 | 5045 0000 6486 0600 6a98 8957 0000 0000
0x00F0 | 0000 0000 f000 2200 0b02 0e00 0086 0100
0x0100 | 004e 0200 0000 0000 d087 0100 0010 0000
at 的两个字节0x00F8表示这是一个 PE+ 标头。是的BaseOfCode四个字节0x010C。
文档(和我自己)是否不正确或 dotPeek 和 PE View 不正确?
这些字节没有被清零的事实意味着这些字节在某种程度上是重要的。