mov edi,eax ;->eax=rva_pe
movzx esi,byte [edi+0x14] ;->получается rva_pe+SizeOfOptionalHeader т.н узнаем размер опционального заголовка.
lea esi,[edi+esi+0x18] ;->а вот тут уже почти ничего не понятно...rva_pe+zize_optional_header+...что такое 0х14 ? название члена структуры ? откуда взялось +0х14 ?
mov ebx,[esi+18] ;->тут тоже.

короче я думаю что lea esi,[edi+esi+0x18] это ни что иное как 0x1+0x18=0x2C т.е IMAGE_OPTIONAL_HEADER . BaseOfCode,тогда у меня на голову не налазит следующее:mov ebx,[esi+18] --это типа 0x2C+0x18 ? 0х2С+0х18=44, а это в свою очередь WORD MajorImageVersion =) что-то тут несходнячек получается
обьясните, что-то я упустил

| Сообщение посчитали полезным:

n1kt0 кусок кода по больше приведи

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

mov edi,eax ;->eax=rva_pe
movzx esi,byte [edi+0x14] \ получаем размер OptionalHeader
lea esi,[edi+esi+0x18] \получаем указатель на таблицу секций
mov ebx,[esi+18] \ в ebx помещается PointerToRelocations первой секции
(х.з. может ошибаюсь, дока по PE под рукой нет

| Сообщение посчитали полезным:

А в чем проблема, сайт Майкрософта всегда доступен.

http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx

| Сообщение посчитали полезным: