当前位置：首页 > news >正文

第3章 Windows运行机理-3.5 PE结构分析(1)

news 2026/3/26 17:06:06

3.5.2 表节

PE文件的真正内容划分成块，称之为sections（节）。每节是一块拥有共同属性的数据，比如代码/数据、读/写、导入/导出等。我们可以把PE文件想像成一逻辑磁盘，PE header 是磁盘的boot扇区，而sections就是各种文件，每种文件自然就有不同属性，如只读、系统、隐藏、文档等。节的划分是基于各组数据的共同属性，而不是逻辑概念。重要的不是数据/代码是如何使用的，如果PE文件中的数据/代码拥有相同属性，它们就能被归入同一节中。

不必关心节中类似于“data”、“code”或其他的逻辑概念：如果数据和代码拥有相同属性，它们就可以被归入同一个节中。节名称仅仅是个区别不同节的符号而已，自己也可以定义一些不同的名字的字。

节表位于PE头标和映像节的生数据中间，节表包含了关于映像中的每节的信息。映像的节是以它们的地址而不是其字母来排序的。

在此处是值得弄清楚一个节到底是什么的时候了。

然而与NE文件的段表又不同，一个PE节表并不为每个代码或数据块保存一个选择器的值。取而代之的是，节表的每一项存储一个地址，该地址是文件的生数据被影射入内存所在位置的地址。尽管节类似于32位段，但它们确实不是单独的段。实际上，一个节简单地对应一个进程的虚拟地址空间中的一片内存区域。

PE文件不同于NE文件的另一个方面，体现在它们是如何管理支撑数据方面，你的应用程序不使用这些支撑数据，但操作系统要用。可执行模块用到的DLL列表和安置表的位置是支撑数据的两个例子。

用PE文件就不同了。任何被认为是相关的代码和数据被存储在一个节中。因此，关于引入函数的信息存储在它自己的节中，它被作为模块引出的函数表。对重定位数据也是如此。任何可能被程序或操作系统需要的代码或数据同样也是获得它们自己的节。

我先描述操作系统管理这些节所用的数据，在内存中，紧跟在PE头标之后的是一个IMAGE_SECTION_HEADER数组。这个数组中的元素个数在PE头标中（的IMAGE_NT_HEADER.FileHeader.NumberOfSection域）给出。

IMAGE_SECTION_HEADER的结构如下：

typedef struct _IMAGE_SECTION_HEADER {

BYTE Name[IMAGE_SIZEOF_SHORT_NAME];

union {

DWORD PhysicalAddress;

DWORD VirtualSize;

} Misc;

DWORD VirtualAddress;

DWORD SizeOfRawData;

DWORD PointerToRawData;

DWORD PointerToRelocations;

DWORD PointerToLinenumbers;

WORD NumberOfRelocations;

WORD NumberOfLinenumbers;

DWORD Characteristics;

} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

用PEDUMP程序可输出节表和所有节的域和属性。下面分别显示了一个典型的EXE文件PEDUMP输出的节表以及一个OBJ文件的节表输出。

Section Table

01 .text VirtSize: 00002C2A VirtAddr: 00001000

raw data offs: 00000400 raw data size: 00002E00

relocation offs: 00000000 relocations: 00000000