PE文件格式（大家可以参考一下）资源-CSDN文库

PE文件格式详解

5星 · 超过95%的资源需积分: 12 185 浏览量 2009-09-10 17:52:25 上传评论收藏 270KB PDF 举报

资源详情

资源评论

PE 文件格式详解

文件格式详解文件格式详解

文件格式详解 (上

上上

上 )

作者： MSDN

译者：李马 (http://home.nuc.edu.cn/~titilima)

摘要

摘要摘要

摘要

Windows NT 3.1 引入了一种名为 PE 文件格式的新可执行文件格式。 PE 文件格式

的规范包含在了 MSDN 的 CD 中（ Specs and Strategy, Specifications, Windows NT File

Format Specifications），但是它非常之晦涩。

然而这一的文档并未提供足够的信息，所以开发者们无法很好地弄懂 PE 格式。本

文旨在解决这一问题，它会对整个的 PE 文件格式作一个十分彻底的解释，另外，本文中

还带有对所有必需结构的描述以及示范如何使用这些信息的源码示例。

为了获得 PE 文件中所包含的重要信息，我编写了一个名为 PEFILE.DLL 的动态链

接库，本文中所有出现的源码示例亦均摘自于此。这个 DLL 和它的源代码都作为 PEFile

示例程序的一部分包含在了 CD 中（译注：示例程序请在 MSDN 中寻找，本站恕不提供），

你可以在你自己的应用程序中使用这个 DLL；同样，你亦可以依你所愿地使用并构建它

的源码。在本文末尾，你会找到 PEFILE.DLL 的函数导出列表和一个如何使用它们的说明。

我觉得你会发现这些函数会让你从容应付 PE 文件格式的。

介绍

介绍介绍

介绍

Windows 操作系统家族最近增加的 Windows NT 为开发环境和应用程序本身带来

了很大的改变，这之中一个最为重大的当属 PE 文件格式了。新的 PE 文件格式主要来自

于 UNIX 操作系统所通用的 COFF 规范，同时为了保证与旧版本 MS-DOS 及 Windows 操

作系统的兼容， PE 文件格式也保留了 MS-DOS 中那熟悉的 MZ 头部。

在本文之中， PE 文件格式是以自顶而下的顺序解释的。在你从头开始研究文件内

容的过程之中，本文会详细讨论 PE 文件的每一个组成部分。

许多单独的文件成分定义都来自于 Microsoft Win32 SDK 开发包中的 WINNT.H 文

件，在这个文件中你会发现用来描述文件头部和数据目录等各种成分的结构类型定义。

但是，在 WINNT.H 中缺少对 PE 文件结构足够的定义，在这种情况下，我定义了自己的

结构来存取文件数据。你会在 PEFILE.DLL 工程的 PEFILE.H 中找到这些结构的定义，整

套的 PEFILE.H 开发文件包含在 PEFile 示例程序之中。

本文配套的示例程序除了 PEFILE.DLL 示例代码之外，还有一个单独的 Win32 示例

应用程序，名为 EXEVIEW.EXE。创建这一示例目的有二：首先，我需要测试 PEFILE.DLL

的函数，并且某些情况要求我同时查看多个文件；其次，很多解决 PE 文件格式的工作和

直接观看数据有关。例如，要弄懂导入地址名称表是如何构成的，我就得同时查看 .idata

段头部、导入映像数据目录、可选头部以及当前的 .idata 段实体，而 EXEVIEW.EXE 就是

并非一个新概念，因为它与 MS-DOS 2.0 以来就已有的 MS-DOS 头部是完全一样的。保

留这个相同结构的最主要原因是，当你尝试在 Windows 3.1 以下或 MS-DOS 2.0 以上的

系统下装载一个文件的时候，操作系统能够读取这个文件并明白它是和当前系统不相兼

容的。换句话说，当你在 MS-DOS 6.0 下运行一个 Windows NT 可执行文件时，你会得

到这样一条消息： “This program cannot be run in DOS mode.”如果 MS-DOS 头部不是

作为 PE 文件格式的第一部分的话，操作系统装载文件的时候就会失败，并提供一些完全

没用的信息，例如： “The name specified is not recognized as an internal or external

command, operable program or batch file.”

MS-DOS 头部占据了 PE 文件的头 64 个字节，描述它内容的结构如下：

//WINNT.H

typedef struct _IMAGE_DOS_HEADER { // DOS 的.EXE 头部

USHORT e_magic; // 魔术数字

USHORT e_cblp; // 文件最后页的字节数

USHORT e_cp; // 文件页数

USHORT e_crlc; // 重定义元素个数

USHORT e_cparhdr; // 头部尺寸，以段落为单位

USHORT e_minalloc; // 所需的最小附加段

USHORT e_maxalloc; // 所需的最大附加段

USHORT e_ss; // 初始的 SS 值（相对偏移量）

USHORT e_sp; // 初始的 SP 值

USHORT e_csum; // 校验和

USHORT e_ip; // 初始的 IP 值

USHORT e_cs; // 初始的 CS 值（相对偏移量）

USHORT e_lfarlc; // 重分配表文件地址

USHORT e_ovno; // 覆盖号

USHORT e_res[4]; // 保留字

USHORT e_oemid; // OEM 标识符（相对 e_oeminfo）

USHORT e_oeminfo; // OEM 信息

USHORT e_res2[10]; // 保留字

LONG e_lfanew; // 新 exe 头部的文件地址

} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

第一个域 e_magic，被称为魔术数字，它被用于表示一个 MS-DOS 兼容的文件类型。所

有 MS-DOS 兼容的可执行文件都将这个值设为 0x5A4D，表示 ASCII 字符 MZ。 MS-DOS

头部之所以有的时候被称为 MZ 头部，就是这个缘故。还有许多其它的域对于 MS-DOS

操作系统来说都有用，但是对于 Windows NT 来说，这个结构中只有一个有用的域 ——

最后一个域 e_lfnew，一个 4 字节的文件偏移量， PE 文件头部就是由它定位的。对于

Windows NT 的 PE 文件来说， PE 文件头部是紧跟在 MS-DOS 头部和实模式程序残余之

后的。

实模式残余程序

实模式残余程序实模式残余程序

实模式残余程序

实模式残余程序是一个在装载时能够被 MS-DOS 运行的实际程序。对于一个

MS-DOS 的可执行映像文件，应用程序就是从这里执行的。对于 Windows、OS/2、Windows

NT 这些操作系统来说，MS-DOS 残余程序就代替了主程序的位置被放在这里。这种残余

程序通常什么也不做，而只是输出一行文本，例如： “This program requires Microsoft

Windows v3.1 or greater.”当然，用户可以在此放入任何的残余程序，这就意味着你可

能经常看到像这样的东西： “You can''t run a Windows NT application on OS/2, it''s

simply not possible.”

当为 Windows 3.1 构建一个应用程序的时候，链接器将向你的可执行文件中链接

一个名为 WINSTUB.EXE 的默认残余程序。你可以用一个基于 MS-DOS 的有效程序取代

WINSTUB，并且用 STUB 模块定义语句指示链接器，这样就能够取代链接器的默认行为。

为 Windows NT 开发的应用程序可以通过使用 -STUB:链接器选项来实现。

PE 文件头部与标志

文件头部与标志文件头部与标志

文件头部与标志

PE 文件头部是由 MS-DOS 头部的 e_lfanew 域定位的，这个域只是给出了文件的偏

移量，所以要确定 PE 头部的实际内存映射地址，就需要添加文件的内存映射基地址。例

如，以下的宏是包含在 PEFILE.H 源文件之中的：

//PEFILE.H

#define NTSIGNATURE(a) ((LPVOID)((BYTE *)a + \

((PIMAGE_DOS_HEADER)a)->e_lfanew))

在处理 PE 文件信息的时候，我发现文件之中有些位置需要经常查阅。既然这些位置仅仅

是对文件的偏移量，那么用宏来实现这些定位就比较容易，因为它们较之函数有更好的

表现。

请注意这个宏所获得的是 PE 文件标志，而并非 PE 文件头部的偏移量。那是由于

自 Windows 与 OS/2 的可执行文件开始，.EXE 文件都被赋予了目标操作系统的标志。对

于 Windows NT 的 PE 文件格式而言，这一标志在 PE 文件头部结构之前。在 Windows

和 OS/2 的某些版本中，这一标志是文件头的第一个字。同样，对于 PE 文件格式，Windows

NT 使用了一个 DWORD 值。

以上的宏返回了文件标志的偏移量，而不管它是哪种类型的可执行文件。所以，文

件头部是在 DWORD 标志之后，还是在 WORD 标志处，是由这个标志是否 Windows NT

文件标志所决定的。要解决这个问题，我编写了 ImageFileType 函数（如下），它返回

了映像文件的类型：

剩余32页未读，继续阅读

评论收藏

内容反馈

zhangkunkun512

2012-09-18

写得很全面，谢谢了

PE文件格式（大家可以参考一下）

评论1

最新资源

PE文件格式（大家可以参考一下）

评论1

最新资源

相关推荐

PEView可以查看PE文件格式

xml教学课件 大家可以参考

GPS资料，大家可以参考

温室资料可以供大家参考

redis工具类,可以供大家参考

经典pe文件格式解读

PE文件格式学习 (CHM资料)

windows pe文件格式

PE文件格式详解示例源码

自己做了下basic.v大家可以参考下

一个很好网站，大家可以看一下哟！很好的。

JAVA基础教程，给大家更多可以参考

ccna证书样本，大家参考一下

c++图像处理模板 大家可以看一下

PE文件格式(数据目录部分未完成)

PE文件解析类（轻松制作自己的PE文件解析器）

The_PE_file_format.zip_PE_Format_pe_pe文件_pe文件格式

Windows PE文件结构解析

PE文件的详解

在线客服，大家可以参考

blog 博客 代码 大家可以参考一下

ASP的相关资料大家可以参考一下哦

C#做的QQ大家可以参考哈

硕士答辩PPT，大家可以参考

Microsoft可移植可执行文件和通用目标文件格式文件规范_V8.1

coff 目标文件格式参考头文件

PE文件解析工具源代码

探索PE文件内幕

超小PE文件(133B)

xml教学课件大家可以参考

c++图像处理模板大家可以看一下

blog 博客代码大家可以参考一下