PE文件结构解析-优快云博客

本文深入探讨PE文件结构，包括DOS Header、NT Header及其组成。重点讲解数据目录表中的导入表结构，涉及IMAGE_IMPORT_DESCRIPTOR、IMAGE_THUNK_DATA及IMAGE_IMPORT_BY_NAME等关键组件。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

学ＰＥ结构很长时间了，开始是从加密与解密的书上学到的，后来又看了一些其他的书，对ＰＥ的结构已经基本的了解了。但是因为很少用，所以也经常忘，尤其是导入表与导出表，里面的具体结构经常混淆。

ＰＥ格式：

１。ＤＯＳ　Ｈｅａｄｅｒ

２．ＮＴ　Ｈｅａｄｅｒ

３．Ｓｅｃｔｉｏｎ　Ｔａｂｌｅ

４．Ｓｅｃｔｉｏｎ

ＤＯＳ　Ｈｅａｄｅｒ的最后一个标志e_lfanew指示了ＮＴ　Ｈｅａｄｅｒ的位置

ＮＴ　Ｈｅａｄｅｒ结构

１．Ｓｉｇｎａｔｕｒｅ

２．Ｆｉｌｅ　Ｈｅａｄｅｒ

３．Ｏｐｔｉｏｎａｌ　Ｈｅａｄｅｒ

在Ｏｐｔｉｏｎａｌ　Ｈｅａｄｅｒ中又有三十几项

其中最后一项是Ｄａｔａ　Ｄｉｒｅｃｔｒｙ，即数据目录表，该项有十六项，每一项是一个ＩＭＡＧＥ＿ＤＡＴＡ＿ＤＩＲＥＣＴＯＲＹ结构

IMAGE_DATA_DIRECTORY STRUCT
VirtualAddress dd ?
isize dd ?
IMAGE_DATA_DIRECTORY ENDS

数据目录表的第一项指示了导出表，第二项指示了导入表

在第二项的ＶｉｒｔｕａｌＡｄｄｒｅｓｓ指向了ＩＭＡＧＥ＿ＩＭＰＯＲＴ＿ＤＩＲＥＣＰＴＯＲ数组的ＲＶＡ

IMAGE_IMPORT_DESCRIPTOR STRUCT
  union
    Characteristics dd ?
    OriginalFirstThunk dd ?
ends
TimeDateStamp dd ?
ForwarderChain dd ?
Name1 dd ?
FirstThunk dd ?
IMAGE_IMPORT_DESCRIPTOR ENDS

其中ＯｒｉｇｉｎａｌＦｉｒｓｔＴｈｕｎｋ中存储的是一个ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ数组的ＲＶＡ，每个ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ又指向ＩＭＡＧＥ＿ＩＭＰＯＲＴ＿ＢＹ＿ＮＡＭＥ

IMAGE_IMPORT_BY_NAME STRUCT
Hint dw ?
Name1 db ?
IMAGE_IMPORT_BY_NAME ENDS

Hint指示本函数在其所驻留DLL的引出表中的索引号。该域被PE装载器用来在DLL的引出表里快速查询函数。该值不是必须的，一些连接器将此值设为0。
Name1含有引入函数的函数名。函数名是一个ASCIIZ字符串。注意这里虽然将Name1的大小定义成字节，其实它是可变尺寸域，只不过我们没有更好方法来表示结构中的可变尺寸域。

在ＩＭＡＧＥ＿ＩＭＰＯＲＴ＿ＤＩＲＥＣＰＴＯＲ结构中的ＦｉｒｓｔＴｈｕｎｋ项，与ＯｒｉｇｎａｌＦｉｒｓｔＴｈｕｎｋ类似，它也是一组ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ的ＲＶＡ，不过该项所指的内容可以改变，并且该项指示的是函数的地址（开始的时候并不指向函数地址，而是ＯｒｉｇｎａｌＦｉｒｓｔＴｈｕｎｋ所指的ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ中的值与ＦｉｒｓｔＴｈｕｎｋ所指的ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ相同，在ＰＥ装载时，改变的，每个ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ是一个函数的地址