PE文件学习笔记（2）

PE 表头（PE Header）

1 PE 表头
内含的重要信息包括程序代码和资料区域的大小位置、适用的操作系统、堆栈（stack）的
最初大小等等。

2 文件最前面的数百个字节是所谓的 DOS stub ,当 Win32 加载器把一个 PE 档映像到内存，内存
映像文件（memory mapped file ）的第一个字节对应到 DOS Stub 的第一个字节。

3 e_lfanew 字段是一个相对偏移值（或说是 RVA ），指向真正的 PE 表头。为了获得指
标，你必须为 RVA 加上 image 的基地址：
pNTHeader = dosHeader + dosHeader->e_lfanew;

 

4 PE 表头整个是个IMAGE_NT_HEADERS 结构，此一结构有一个 DWORD 和两个子结构：
    DWORD Signature;  // ASCII 的 PE/0/0

    IMAGE_FILE_HEADER FileHeader;     //此结构内含最基础的文件信息

 

    IMAGE_OPTIONAL_HEADER OptionalHeader;

/////////////////////////////////////////////////////////////////////////////////////////////////////////

   

  1) WORD Machine

 Intel I386 0x14C Intel i860 0x14D MIPS R300 0x162 MIPS R400 0x166 DEC Alpha AXP 0x184 Power PC 0x1F0 （little endian ） Motorola 68000 0x268 PA RISC 0x290 （Precision Architecture ） //这些比一定适合每台机器

  2) WORD NumberOfSections

 EXE 的 OBJ 中的 sections 个数

  3) DWORD TimeDateStamp

 联结器产生此一文件的时刻。其格式是自从1969 年12 月31 日4:00 P.M. 之后的总秒数。

  4) DWORD PointerToSymbolTable

 COFF 符号表格的偏移位置。此字段只对 COFF 除错信息有用。PE 档支持数种除错格 式，所以除错器应该参考 data directory （稍后描述）字段中的 IMAGE_DIRECTORY_ENTRY_DEBUG 。

  5) DWORD NumberOfSymbols

 COFF 符号表格中的符号个数。请看前一字段。

  6) WORD SizeOfOptionalHeader

 一个可有可无的表头（出现在本结构之后）的大小。在 EXE 档中，这也就是 IMAGE_OPTIONAL_HEADER 的大小。在 OBJ 档中，微软说它总是 0 。然而，观察 KERNEL32.LIB ，有一个 OBJ 在其中，而它的这个值不是 0 。所以呢，微软的话总是要 打点折扣。

  7) WORD Characteristics

 描述此一文件的性质。一些比较重要的性质如下： 0x0001 文件中没有重定位（relocation ） 0x0002 文件是个可执行档（也就是说不是 OBJ 或 LIB ） 0x2000 文件是动态联结函数库，不是程序。 PE 表头的第三个成份是 IMAGE_OPTIONAL_HEADER 结构。对于 PE 档而言，这一 部份其实并不是可有可无。要知道，COFF 格式允许不同的生产者在标准的 IMAGE_FILE_HEADER 之后定义一个结构。IMAGE_OPTIONAL_HEADER 正是 PE 设 计者认为在基本的 IMAGE_FILE_HEADER 信息之外还需要的一些重要信息。

  上面七个部分就是IMAGE_FILE_HEADER FileHeader的结构

 

  下面还剩下 IMAGE_OPTIONAL_HEADER OptionalHeader

 

   其中最重要的两个字段是 ImageBase 和 Subsystem

 

   详细如下

 

   1) WORD Magic

 

   2) DWORD SizeOfCode

 

   3) DWORD SizeOfInitializedData

 

   4) DWORD SizeOfUninitializedData

   5) DWORD AddressOfEntryPoint

   6) DWORD BaseOfCode

 

   7) DWORD BaseOfData

   8) DWORD ImageBase

 一旦联结器产生了一个可执行档，它就假设这个文件将被映像到特定位置的内存中。这个字段放的就是内存起始地址。 在 NT 3.1 EXE 中，预设的 image base 是 0x10000 ，DLL 则是 0x400000   

   9) DWORD SectionAlignment

 

  10) DWORD FileAlignment

 

  11) WORD MajorOperatingSystemVersion

  12) WORD MinorOperatingSystemVersion

 

  13) WORD MajorImageVersion

  14) WORD MinorImageVersion
 

  15) WORD MajorSubsystemVersion

  16) WORD MinorSubsystemVersion

 

  17) DWORD Reserved1

  18) DWORD SizeOfImage

 

  19) DWORD SizeOfHeaders

  20) DWORD CheckSum

 

  21) WORD Subsystem

此一可执行文件用来作为使用者接口的子系统。WINNT.H 定义了下列常数： NATIVE=1 不需要子系统（例如驱动程序） WINDOWS_GUI=2 在 Windows GUI 子系统中执行 WINDOWS_CUI=3 在 Windows 字符模式子系统中执行（也就是 console 应用程序） OS2_CUI=5 在 OS/2 字符模式子系统中执行（也就是 OS/2 1.x 应用程序） POSIZ_CUI=7 在 Posix 字符模式子系统中执行
22) WORD DllCharacteristics

一组旗标值，用来指示 DLL 的初始化函数（例如 DllMain ）在什么环境下被呼叫。这 个值总是 0 ，但操作系统却还是会在四个 events 发生时呼叫 DLL 的初始化函数。此值 的四个数值分别意义如下： 1 ：当 DLL 被加载一个行程的地址空间时呼叫之。 2 ：当一个线程结束时呼叫之。 4 ：当一个线程开始时呼叫之。 8 ：当 DLL 退出时呼叫之。 但是在vc6.0中看到如下定义 #define DLL_PROCESS_ATTACH 1 #define DLL_THREAD_ATTACH 2 #define DLL_THREAD_DETACH 3 #define DLL_PROCESS_DETACH 0 这里有些不懂这个过程怎么回事。。。或者两个并没有关系，我多虑了吧
23) DWORD SizeOfStackReserve

24) DWORD SizeOfStackCommit

 

25) DWORD SizeOfHeapReserve

 

26) DWORD SizeOfHeapCommit

 

27) DWORD LoaderFlags

 

28) DWORD NumberOfRvaAndSizes

 

29) IMAGE_DATA_DIRECTORY DataDirectory [IMAGE_NUMBEROF_DIRECTORY_ENTRIES]

 

数组大小由上一个字段指定 数组一开始的元素内含可执行文件重要部位的RVA （Relative Virtual Address ）及大小。阵 列最后的一些元素目前还用不着。数组的第一个元素代表 exported function table （如果 有的话）的地址和大小，第二个元素代表 imported function table 的地址和大小，依此类 推。完整的列表请看 WINNT.H 中的定义。 译注：以下就是完整的列表。 // Directory Entries #define IMAGE_DIRECTORY_ENTRY_EXPORT 0 // Export Directory #define IMAGE_DIRECTORY_ENTRY_IMPORT 1 // Import Directory #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // Resource Directory #define IMAGE_DIRECTORY_ENTRY_EXCEPTION 3 // Exception Directory #define IMAGE_DIRECTORY_ENTRY_SECURITY 4 // Security Directory #define IMAGE_DIRECTORY_ENTRY_BASERELOC 5 // Base Relocation Table #define IMAGE_DIRECTORY_ENTRY_DEBUG 6 // Debug Directory #define IMAGE_DIRECTORY_ENTRY_COPYRIGHT 7 // Description String #define IMAGE_DIRECTORY_ENTRY_GLOBALPTR 8 // Machine Value (MIPS GP) #define IMAGE_DIRECTORY_ENTRY_TLS 9 // TLS Directory #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG 10 // Load Configuration Directory #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT 11 // Bound Import Directory in headers #define IMAGE_DIRECTORY_ENTRY_IAT 12 // Import Address Table