Я заинтересован в работе формата PE.
Я открыл калькулятор Windows 7 (32-разрядный) с помощью программы CFF Explorer.
Когда я открываю «Каталоги данных»Я обнаружил, что поле «Связанный каталог импорта» (индекс 11) имеет RVA 0x270 и размер 0x154.
Но когда я открываю поле «заголовки разделов», я обнаруживаю, что мой первый раздел(.text) начинается с 0x1000 в виртуальном адресе.
Я делаю вывод, что мое поле «Связанный каталог импорта RVA» не указывает на виртуальный адрес, потому что мой первый раздел сопоставлен с 0x1000, а 0x270 ниже.
Это будет физический адрес (смещение от начала файла)?
Я также хотел бы знать, могут ли другие записи «Каталоги данных» находиться в той же ситуации.
Кроме того, запись "Связанный каталог импорта RVA" выделена красным цветом в CFF Explorer, однако я не изменился и исполняемый файл работает очень хорошо.
Заранее благодарю затвои ответы,