PE结构学习笔记--关于AddressOfEntryPoint位置在文件中怎么确定问题

第一次学习PE结构，也不知道有没有更好的办法。

1、AddressOfEntryPoint

这个成员在OptionalHeader里面，OptionalHeader的类型是一个IMAGE_OPTIONAL_HEADER32结构。该结构总共有31个成员，占的大小为224字节。成员7就是AddressOfEntryPoint。AddressOfEntryPoint占4个字节。它表示的是代码入口的RVA地址。也就是说，把一个文件加载到内存的时候，基地址加上AddressOfEntryPoint就是我们的入口代码地址。基地址在成员10有定义。

2、如何确定AddressOfEntryPoint在文件中的位置地址

AddressOfEntryPoint指示的是文件加载如内存之后的地址，那么在文件中，这个内存指代的地址是什么呢？

在PE结构之后是节表，之后是节数据。我们在节表里面可以得到一些有用的信息。因为AddressOfEntryPoint一般指示的地址都是几个节中的某一个。我们可以用16进制打开PE文件，然后查看各节的头部内容。

每一个节（段）是IMAGE_SECTION_HEADER结构。共10个成员。对于本问题比较有用的就是第三个成员，VirtualAddress，4个字节。它表示的是该段映射到内存的起始地址。成员4是SizeOfRawData，4个字节。表示该段在内存占的大小。成员5，PointerToRawData，4个字节。表示该段在文件中的起始地址。注意，这儿提到了文件中。

确定AddressOfEntryPoint在文件中的地址就可以这样来计算了。首先我们要确定AddressOfEntryPoint在内存中是属于哪个段。这个很好确定。就看AddressOfEntryPoint的地址位于哪个段中就行了。比如AddressOfEntryPoint位于段A中。其次，就用AddressOfEntryPoint的地址减去A的VirtualAddress，得到AddressOfEntryPoint相对于段A的偏移B。最后，我们用段A的PointerToRawData加上偏移B就得到了AddressOfEntryPoint在文件中的位置。

关于这个位置，我们也可以用OD打开一个PE文件，它会自动跳转到AddressOfEntryPoint，它的“HEX 数据”栏会显示AddressOfEntryPoint在文件中的位置。

学习了2天，且当做一个笔记。如果有更好的方法，希望有人可以告知。