PE文件格式

Day 17: PE文件格式

本章介绍Windows可执行文件的PE(Portable Executable)格式结构。

1. PE文件结构

PE文件结构（从上到下）： 1. DOS Header - MZ签名 2. DOS Stub - "This program..." 3. PE Signature - "PE\0\0" 4. File Header - 20字节 5. Optional Header - 重要信息 6. Section Headers - 节表 7. .text - 代码段 8. .data - 数据段 9. .rdata - 只读数据段 10. ... - 其他节

2. DOS Header

typedefstruct_IMAGE_DOS_HEADER{WORD e_magic;// 0x5A4D = "MZ"...LONG e_lfanew;// PE头偏移}IMAGE_DOS_HEADER;

3. PE Header

// File Headertypedefstruct_IMAGE_FILE_HEADER{WORD Machine;// 0x14c=x86, 0x8664=x64WORD NumberOfSections;DWORD TimeDateStamp;DWORD PointerToSymbolTable;DWORD NumberOfSymbols;WORD SizeOfOptionalHeader;WORD Characteristics;// 标志}IMAGE_FILE_HEADER;// Optional Header (关键！)typedefstruct_IMAGE_OPTIONAL_HEADER{WORD Magic;// 0x10B=PE32, 0x20B=PE32+...DWORD AddressOfEntryPoint;// 入口点RVADWORD BaseOfCode;DWORD ImageBase;// 基址DWORD SectionAlignment;DWORD FileAlignment;...DWORD SizeOfImage;IMAGE_DATA_DIRECTORY DataDirectory[16];}IMAGE_OPTIONAL_HEADER;

4. Section Header

typedefstruct_IMAGE_SECTION_HEADER{BYTE Name[8];// 节名 ".text"DWORD VirtualSize;// 内存大小DWORD VirtualAddress;// 内存RVADWORD SizeOfRawData;// 文件大小DWORD PointerToRawData;// 文件偏移...DWORD Characteristics;// 属性}IMAGE_SECTION_HEADER;// 常见节.text-代码（可执行）.data-可写数据.rdata-只读数据.rsrc-资源.reloc-重定位

5. 重要数据目录

索引 名称 用途 0 Export 导出函数 1 Import 导入函数 5 Base Relocation 重定位 6 Debug 调试信息 12 IAT 导入地址表 14 CLR .NET元数据

6. 导入表

程序如何调用DLL函数： 1. Import Directory Table 列出所有导入的DLL 2. Import Lookup Table (ILT) 函数名/序号 3. Import Address Table (IAT) 运行时填充实际地址 call [IAT_entry] ; 间接调用

7. 地址转换

RVA = Relative Virtual Address VA = Virtual Address = ImageBase + RVA 文件偏移 = RVA - SectionRVA + SectionFileOffset

8. 小结

[结构] 1. DOS Header + Stub 2. PE Signature 3. File/Optional Header 4. Section Headers [关键字段] 5. ImageBase - 基地址 6. AddressOfEntryPoint - 入口 7. DataDirectory - 数据目录 [节] 8. .text代码, .data数据 9. 节属性决定权限

下一篇预告：Day 18 - ELF文件格式