PE文件格式详解.pdf资源-CSDN文库

windows

需积分: 16 83 浏览量 2019-05-31 16:57:32 上传评论收藏 525KB PDF 举报

资源推荐

资源详情

资源评论

第 1 页共 35 页

作者：太虚野老

第 2 页共 35 页

PE 文件格式详解 ...................................................................................................................... 3

PE 介绍: ..................................................................................................................................... 3

DOS header ................................................................................................................................ 3

DOS stub： ............................................................................................................................ 5

PE header ................................................................................................................................... 6

IMAGE_OPTIONAL_HEADER 结构： ..................................................................................... 7

DataDirectory 结构： ......................................................................................................... 11

区段表(Secton Table)： .......................................................................................................... 13

.bss ....................................................................................................................................... 15

.textbss ................................................................................................................................ 15

.text ...................................................................................................................................... 15

.rdata ................................................................................................................................... 16

.data ..................................................................................................................................... 18

.idata .................................................................................................................................... 19

.edata ................................................................................................................................... 19

.rsrc ...................................................................................................................................... 19

.reloc .................................................................................................................................... 20

Export Table（导出函数表）： ............................................................................................. 20

输出转送（Export Forwarding）： ................................................................................... 24

输入部分(Import Section)： ................................................................................................... 25

Import Table(导入函数表)： .............................................................................................. 25

IAT： .................................................................................................................................... 30

Bound Imports（绑定输入）： ............................................................................................. 32

加载运行 PE 文件的步骤模拟 ............................................................................................. 34

第 4 页共 35 页

下面就是 DOS Header 在 C 语言中的结构表示（来自 MinGW 的 winnt.h）

typedef struct _IMAGE_DOS_HEADER {

WORD e_magic; // Magic DOS 签名 MZ (4Dh 5Ah)

WORD e_cblp; // 文件最后一页的字节数

WORD e_cp; // 文件中的页数

WORD e_crlc; // 重定位的个数

WORD e_cparhdr; // 段落中以 16 字节为单位的头的长度

WORD e_minalloc; // 额外段落需要的最小分配值，16 字节单位

WORD e_maxalloc; // 额外段落需要的最大分配值，16 字节单位

WORD e_ss; // 初始 SS 寄存器值

WORD e_sp; // 初始 SP 寄存器值

WORD e_csum; // 校验和

WORD e_ip; // 初始 IP 寄存器值

WORD e_cs; // 初始 CS 寄存器值

WORD e_lfarlc; // 重定位表在文件中的地址

WORD e_ovno; // 覆盖数量

WORD e_res[4]; // 保留字

WORD e_oemid; // OEM 标识符

WORD e_oeminfo; // OEM 信息

WORD e_res2[10]; // 保留字

LONG e_lfanew; // PE header 的起始偏移量

} IMAGE_DOS_HEADER,*PIMAGE_DOS_HEADER;

首先声明， WORD 表示 unsigned short int(2bytes), 而 LONG 和后面会出现的 D

WORD 表示 unsigned int(4 bytes)，其定义符合 C99 标准。

我们只关心其中两个成员，e_magic 是 Magic Number，它总是等于 0x4D5A，也就是 MZ

这两个字符，这是为了几纪念 Mark Zbikowsky，MS-DOS 设计者之一。

对于 MS-DOS 操作系统来说，许多其他的域都是有用的。例如：

512 ×（e_cp - 1） + e_cblp = （头部 + 代码部分）的长度。

在 PE 文件中 e_cp 总是 0003h，e_cblp 总是 0090h，没有实际意义。

但是对于 Windows NT 来说，只有最后一个域 e_lfnew 是有用的。

_lfanew 指向的是 PE header，这才是 PE 文件真正的开始，Win32EXE 加载器会读取其

中的地址并找到 PE header，DOS stub 因此被跳过。

如果在 DOS 下执行 PE 格式文件就会执行后面的 DOS Stup，显示字符串“This program

cannot be run in DOS mode.”然后退出。如果在 Window 下执行 PE 格式文件，PE 加载器就

会读取 e_lfanew 中的地址并找到 PE header，跳过 DOS stub。

在 WinHex 中打开 Roll.exe。

64 字节的 DOS header 结构：

64 字节的 DOS header 结构对应数据

成员数据含义

剩余34页未读，继续阅读

评论收藏

内容反馈

gqming

粉丝: 2
资源: 11

PE文件格式详解.pdf

PE文件格式详解 PDF

PE文件格式详解pdf中文版

PE文件结构详解.pdf

PE Format (Windows).pdf

PE文件格式详解.

PE文件格式详解pdf

PE文件格式详解[收集].pdf

PE文件格式详解

PE文件结构祥解.pdf

windows PE文件格式详解

PE文件格式图.pdf

Windows的PE文件格式详解

PE文件格式 ELF文件格式详解

PE文件格式入门详解

PE文件结构详解--（完整版）.pdf

PE文件格式详解 Bernd. Luevelsmeyer

Qt 5实现串口调试助手 （源工程文件、0积分下载）

【SystemVerilog】路科验证V2学习笔记（全600页）.pdf

AutoSAR标准协议4.2.2

光伏-储能并网系统仿真.rar

最新资源

Qt 5实现串口调试助手（源工程文件、0积分下载）