pe文件结构 微软规范文档

### PE文件结构与微软规范文档知识点解析 #### 一、基本概念 PE (Portable Executable) 文件格式是由微软设计的一种标准文件格式，主要用于定义可执行文件（如.EXE、.DLL等）、对象代码文件（.OBJ）以及库文件（.LIB）。此格式支持多种操作系统，包括Windows NT系列操作系统。PE文件格式的核心组成部分包括MS-DOS头、PE签名、COFF文件头、可选文件头以及节表等。 #### 二、概览 PE文件结构由多个关键部分组成，这些部分共同决定了一个文件如何被加载到内存中并被执行。了解这些结构对于理解PE文件的工作原理至关重要。 #### 三、文件头 ##### 3.1 MS-DOS占位程序（仅适用于映像文件） MS-DOS占位程序是一个特殊的段，位于PE文件的最开始部分，主要包含了一个小型的DOS程序。这个程序的作用是在Windows系统中不支持PE格式时，能够提供一个友好的错误消息。 ##### 3.2 签名（仅适用于映像文件） PE文件中的签名是一个固定的字符串“PE\0\0”，用来标记一个文件是否符合PE文件格式的要求。这个签名通常位于MS-DOS占位程序之后，标志着PE文件头的开始。 ##### 3.3 COFF文件头（适用于目标文件和映像文件） COFF (Common Object File Format) 文件头包含了文件的基本属性，例如机器类型、节的数量、时间戳等。 - **3.3.1 机器类型**：定义了目标机器的架构类型，常见的有IMAGE_FILE_MACHINE_I386 (x86)、IMAGE_FILE_MACHINE_AMD64 (x64)等。 - **3.3.2 特征**：该字段定义了文件的一些特征标志，比如是否有调试信息、是否为可执行文件等。 ##### 3.4 可选文件头（仅适用于映像文件） 可选文件头包含了更详细的文件信息，如文件大小、入口点地址等，这部分内容对于正确加载和执行文件至关重要。 - **3.4.1 可选文件头中的标准域**：包括标准的数据项，例如Magic Number（魔数）、Major Linker Version（主链接器版本）、Minor Linker Version（次链接器版本）等。 - **3.4.2 可选文件头中的Windows特定域**：这些域包括ImageBase（图像基址）、SectionAlignment（节对齐）、FileAlignment（文件对齐）等，它们对于Windows环境下的加载过程非常重要。 - **3.4.3 可选文件头中的数据目录**：数据目录包含了文件中各种资源的起始地址和大小，如导入表、导出表、异常处理表等。 #### 四、节表（节头） 节表描述了文件中各个节的信息，包括每个节的名称、虚拟大小、原始大小、虚拟地址、原始数据的文件偏移量等。 - **4.1 节标志**：每个节都有一个标志字段，指出了该节的属性，如读写权限、执行权限等。 - **4.2 成组的节（仅适用于目标文件）**：在目标文件中，多个具有相同属性的节可以被组合在一起，以减少重复信息。 #### 五、文件中的其它内容 ##### 5.1 节中的数据 节中的数据是指具体存储在各个节内的实际内容，包括代码、数据、资源等。 ##### 5.2 COFF重定位信息（仅适用于目标文件） 重定位信息描述了如何在链接过程中调整代码或数据的位置。主要包括： - **5.2.1 类型指示符**：定义了不同类型的重定位操作，例如基于相对地址的重定位、绝对地址重定位等。 - **5.2.2 重定位条目**：包含了具体的重定位操作细节，例如偏移量、类型等。 ##### 5.3 COFF行号信息（不赞成使用） 行号信息主要用于调试，但在现代PE文件中已不再推荐使用。 ##### 5.4 COFF符号表 符号表存储了文件中定义的符号信息，包括函数、变量等。 - **5.4.1 符号名称表示**：定义了符号名称的存储格式。 - **5.4.2 符号类型**：根据不同的类型标识，可以确定符号的具体类型，如函数、数据等。 通过以上知识点的详细介绍，我们可以了解到PE文件结构是如何组织和存储信息的，这对于理解和分析PE文件至关重要。掌握了这些基础内容后，可以进一步深入研究PE文件的高级特性，如安全特性、动态链接库的加载机制等。