本次内容包含如何修改程序中的初始值，和如何转换内存和文件的地址。

修改初始值

问题：
我们写了一个程序，可以输出一个结果，那么我们可以通过修改PE文件来改变这个输出结果吗？
对于有初始值的全局变量来说，是可以的。

我们在给全局变量赋初始值时，会在PE文件中记录其数据
没有初始值，无法找到

这里我们有如下一个程序：

#include<stdio.h>
int a = 0x12121212;
int main() {
	printf("a=(十六进制)%X\n", a);
	return 0;
}

执行结果如下：

以十六进制输出 a 的值。我们以二进制打开PE文件.这里我们将a先设置的特殊一点，便于寻找。

这里我们将结果12121212修改为00000000，然后另存为新文件。

然后再运行两个文件，发现值已经被修改：

RVA和FOA转换

RVA

RVA是PE文件在内存中的相对虚拟地址

比如全局变量a，在文件中是一个地址，然后映射到内存中，会有一个新地址，此时这个地址相对与基地址(也就是imageBase)的偏移量就是RVA。

FOA

FOA在PE文件在文件中的相对地址

全局变量a在文件中的地址，相对于文件起始地址的偏移量，上图中为B400h。

RVA和FOA的关系

由于两个都是相对偏移量，同时PE文件中又会记载文件对齐和内存对齐的地址信息。所有我们可以得到：

1. 在文件头中时：RVA=FOA
2. 在节数据中时：RVA - 内存中所在节的起始数据 = FOA - 文件中所在节的起始地址

在上面那个程序中，扩展PE头中，内存基址为02 00 00，内存对齐06 00 00，文件对齐0.

在标准PE头中记录节表数量
然后再去PE中查找节表的长度，所在节表是第几个。最后根据内存所在地址相对当前节偏移量 = 文件所在地址相对当前节偏移量就可以得到内存中的地址