PE的意思是可移植的执行体，即portable executable，是windows下的一个32位的文件格式，保留了MZ文件头以便于运行于DOS，在windows中广泛存在PE这种格式,除了.dll和VxD格式不属于这个格式，是病毒喜欢感染的类型

windows下的pe病毒是指所有感染Windows下PE文件格式文件的病毒，可以在安全模式下删除，危害和一般病毒是一样的，就是普通病毒，只不过病毒通过修改可执行文件的代码中程序入口地址，变成病毒的程序入口，导致运行的时候执行病毒文件，这是比较常用的方式，删除就没事了

PE病毒大多数采用Win32汇编编写.
PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.
只有在PE病毒中,我们才能真正感受到高超的病毒技术.

编写Win32病毒的几个关键
Api函数的获取
不能直接引用动态链接库
需要自己寻找api函数的地址,然后直接调用该地址

一点背景：
在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.
病毒没有.data段,变量和数据全部放在.code段