Спасибо за ответ neprovad, я и так, сейчас читаю документацию по формату PE.
И ни как не магу понять...

Приважу цитату с сайта wasam....
Как Вы уже знаете, в начале PE-файла идёт PE-заголовок. Между окончанием таблицы секции и первой секцией есть промежуток. Этот промежуток появляется из-за файлового выравнивания выравнивания (значение FileAlignment в файловом заголовке). Туда мы можем впихнуть исполняемый вредоносный код.

У меня вопрос №2...Что или от чего, надо отнять, чтобы можно было узнать, адрес свободного промежутка...