RVA入口和RAW入口区别

PE病毒是指所有感染Windows下PE文件格式文件的病毒.
RAM是一种在电脑中用来暂时保存数据的元件。指只读存储(ROM)和可擦写存储(RAM)英文缩写，展开就是READ-ONLYMEMORY和READACCESSMEMORYBIOS是保存在ROM种的，内存就是RAM 。它可以随时读写，而且速度很快，通常作为作业系统或其他正在运行中的程式之临时资料存储媒介。 RAM记忆体可以进一步分为静态RAM（SRAM）和动态记忆体（DRAM）两大类。
PE病毒大多数采用Win32汇编编写.
RVA 代表相对虚拟地址.它是相对虚拟空间里的一个地址 .
PE病毒大多数采用Win32汇编编写.
PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.
只有在PE病毒中,我们才能真正感受到高超的病毒技术.
编写Win32病毒的几个关键
Api函数的获取
不能直接引用动态链接库
需要自己寻找api函数的地址,然后直接调用该地址
一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.
病毒没有.data段,变量和数据全部放在.code段.

这里很全，很详细：http://blog.csdn.net/lanmanyinhua/

一个感染PE文件的例子http://www.codesky.cn/article/doc/200507/2005072924573787.htm

PE病毒是指所有感染Wi