PE Format(15)

首先，我将提到代码节。
此节，至少，要将“IMAGE_SCN_CNT_CODE”（含有代码节）、“IMAGE_SCN_MEM_EXECUTE”（内存可执行节）和“IMAGE_SCN_MEM_READ”（内存可读节）等标志位设为1，并且“AddressOfEntryPoint”（入口点地址）将指向节中的某个地方，指向开发者希望首先执行的那个函数的开始处。

　　“BaseOfCode”（代码基址）通常指向这一节的开始处，但是，如果一些非代码字节被放在代码之前的话，它也可能指向节中靠后的某个地方。

　　通常，除了可执行代码外，本节没有别的东东，并且通常只有一个代码节，但是不要太迷信这一点。

　　典型的节名有“.text”、“.code”、“AUTO”之类。

　　3.数据节（datasection）

　　------------------------

　　我们要讨论的下一件事情就是已初始化变量；本节包含的是已初始化的静态变量（象“staticinti=5;”）。它将，至少，使 “IMAGE_SCN_CNT_INITIALIZED_DATA”（含有已初始化数据节）、“IMAGE_SCN_MEM_READ”（内存可读节）和 “IMAGE_SCN_MEM_WRITE”（内存可写节）等标志位被置为1。

　　一些链接器可能会将常量放在没有可写标志位的它们自己的节中。如果有一部分数据可共享，或者有其它的特定情况，那么可能会有更多的节，且它们的合适的标志位会被设置。

　　不管是一节，还是多节，它们都将处于从“BaseOfData”（数据基址）到“BaseOfData”+“SizeOfInitializedData”（数据基址+已初始化数据的大小）的范围之内。

　　典型的名称有“.data”、“.idata”、“DATA”、等等。

　　4.BSS节（bsssection）

　　----------------------

　　其后就是未初始化的数据（一些象“staticintk;”之类的静态变量）；本节十分象已初始化的数据，但它的“PointerToRawData” （文件偏移量）却为0，表明它的内容不存储在文件中；并且“IMAGE_SCN_CNT_UNINITIALIZED_DATA”（含有未初始化数据节）而不是“IMAGE_SCN_CNT_INITIALIZED_DATA”（含有已初始化数据节）标志位被置为1，表明在载入时它的内容应该被置为0。这就意味着，在文件中只有节头，没有节身；节身将由加载器创建，并全部为0字节。

　　它的长度由“SizeOfUninitializedData”（未初始化数据大小）确定。