Queria aprender a calcular SizeOfImage y la VirtualSize de un archivo ya se que puedo ver estos parametros con olly o lordpe pero quiero aprender a calcularlos con un calculadora y saber de donde salen espero que me ayuden
gracias!!
Aparte me surgio la siguiente duda estuve buscando info en la web sobre el tema pero me confunde un poco, por lo que interpreto lo que aparece entre () es el peso del archivo que se puede ver haciendo click en propiedades lo que no se si es el tamaño o el tamaño en disco ya que en algunos casos varia si pongo este numero en la calculadora cientifica en decimales y lo paso a hexa me da el valor que aparece a la izquierda en este caso 16000. lo que no me queda claro es de donde sale el valor de la segunda columna 00600100 que es el que puedo ver con un editor hexadecimal en el offset 281 y 282. quiero saber como se calcula. les dejo la imagen....

No es exactamente lo que busco, gracias igual!!

Sin aprender a leer el formato PE, no lograrás prácticamente nada.

Saludos,

Ese valor es el mismo que antes (0x00016000).
En los ejecutables, los dwords, words... se almacenan inversamente por bytes.
Prueba a crear un programa en cualquier lenguaje y mete una constante de tamaño dword con el valor 0x12345678h. Sil o abres con un editor hexadecimal verás que está almacenada como 78673412.

.386
.model flat, stdcall
option casemap :none
 
include \masm32\include\kernel32.inc
 
includelib \masm32\lib\kernel32.lib
 
.data
	ddConstante	dd 12345678h
 
.code
start:
	mov eax, ddConstante
	push 0
	call ExitProcess
end start

Cuando lo abras con el Olly verás esto:

en el "dump" está 0x78563412 pero Olly ya nos indica que la dirección 0x00430000 contiene el valor 0x12345678:

Saludos.