В документации MS говорится, что значение BaseOfCode присутствует только в файлах PE, но не в PE +. Глядя на notepad.exe с dotPeek и с PE Viewer, кажется, указывает на то, что BaseOfCode присутствует и используется.
0 1 2 3 4 5 6 7 8 9 A B C D E F
0x00E0 | 5045 0000 6486 0600 6a98 8957 0000 0000
0x00F0 | 0000 0000 f000 2200 0b02 0e00 0086 0100
0x0100 | 004e 0200 0000 0000 d087 0100 0010 0000
Два байта в 0x00F8 означают, что это заголовок PE +. BaseOfCode - это четыре байта в 0x010C.
Является ли документация (и я) неверной или это dotPeek и PE View
неправильно?
Тот факт, что эти байты не обнуляются, подразумевает, что байты в некоторой степени значимы.