再说PE文件

 

                                   对于PE文件的一点理解

       首先我们来认识几个结构体 第一个我们的IMAGE_OPTINAL_HEADER

 

typedef struct _IMAGE_OPTIONAL_HEADER {
 WORD Magic;
 BYTE MajorLinkerVersion;
 BYTE MinorLinkerVersion;
 DWORD SizeOfCode;
 DWORD SizeOfInitializedData;
 DWORD SizeOfUninitializedData;
 DWORD AddressOfEntryPoint;
 DWORD BaseOfCode;
 DWORD BaseOfData;
 DWORD ImageBase;
 DWORD SectionAlignment;
 DWORD FileAlignment;
 WORD MajorOperatingSystemVersion;
 WORD MinorOperatingSystemVersion;
 WORD MajorImageVersion;
 WORD MinorImageVersion;
 WORD MajorSubsystemVersion;
 WORD MinorSubsystemVersion;
 DWORD Win32VersionValue;
 DWORD SizeOfImage;
 DWORD SizeOfHeaders;
 DWORD CheckSum;
 WORD Subsystem;
 WORD DllCharacteristics;
 DWORD SizeOfStackReserve;
 DWORD SizeOfStackCommit;
 DWORD SizeOfHeapReserve;
 DWORD SizeOfHeapCommit;
 DWORD LoaderFlags;
 DWORD NumberOfRvaAndSizes;
 IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//这个是指向一个结构体 而这个结构体

} IMAGE_OPTIONAL_HEADER, 

*PIMAGE_OPTIONAL_HEADER;

IMAGE_OPTIONAL_HEADER 的最后一个成员变量是指向一个结构体

 

下来我来说一下这个结构体的作用，我们的每一个PE文件都有自己的函数和DLL文件吧，

因此这个结构体就是一个指向 一个dll文件和这个文件里面所有的函数，当然我这里说的有点模糊，那这个结构体的原型到底是什么那？我下来说一下

typedef struct _IMAGE_DATA_DIRECTORY {
 DWORD VirtualAddress;//这个是一个虚拟相对地址,一般都是相对0X00400000 的一个地址；
 DWORD Size;

} IMAGE_DATA_DIRECTORY, 

*PIMAGE_DATA_DIRECTORY;

而这个结构体的第一个成员变量VirtualAddress 他是一个相对虚拟地址，那什么又是相对虚拟地址那；我来解释一下就是一个地址偏移量对于一个.exe文件在XP系统下他们是相对0x00400000的便宜量；因此我们可以通过我们VirtualAddress 找到我们的所需要的信息，好了，这个结构体他里面包含了一些关于 什么像导出表啊 或者导入表啊 还有我们资源表啊等等 这个必须通过我们的IMAGE_OPTIONAL_HEADER 的最后一个成员变量来找， DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES] ，这是一个大小为16的一结构体数组，这个数组的第一个元素DataDirectory【0】，一个关于导出表的信息，DataDirectory【1】，是一个关于导入表的一个信息；好了，至于其他的我现在还不是很懂，不过我后来会说的，我们有了这个就可以找见我们的IMAGE_IMPORT_ DESCRIPTOR

 

typedef struct _IMAGE_IMPORT_DESCRIPTOR {

    union {

        DWORD   Characteristics;            // 0 for terminating null import descriptor

        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)

    };

    DWORD   TimeDateStamp;                  // 0 if not bound,

                                            // -1 if bound, and real date/time stamp

                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)

                                            // O.W. date/time stamp of DLL bound to (Old BIND)

 

    DWORD   ForwarderChain;                 // -1 if no forwarders

    DWORD   Name;                                           // 指向一个库名而且是相对的，也就是说是一个RVA

    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)

} IMAGE_IMPORT_DESCRIPTOR;

那么这个又是什么那 下来我来说一下 他那是一些关于导出表的一下信息，第一个成员变量是一个个联合体 这个联合体的第一个Characteristics 这个我还不是很知道，我就不说了，我来说一下第二个成员变量OriginalFirstThunk是指向一个叫做IMAGE_THUNK_DATA的结构体，待会我再说这个结构体的作用，至于DWORD   TimeDateStamp; 和DWORD   ForwarderChain; 我还是不是很懂，那个Name也是一个相对虚拟地址（RVA），至于那个FirstThunk 他和OriginalFirstThunk很相似 也是一个指向 IMAGE_THUNK_DATA的结构体的 ，不过两个有点区别，那区别是什么那，当一个程序再为运行前，他们来那个是指向同一块地址的，一旦当程序运行了，OriginalFirstThunk指向的地址不变，而FirstThunk却变了，他那指向了这个结构体的内存的地端地址，也就是下一个IMAGE_THUNK_DATA，哦，我忘说了，他也是一个数组；好我来解释一下，因为我们的一个程序要用到一些函数，而这些函数却包含在同一个DLL文件里面，因此我们的程序是不是要找到所有与它有关的函数地址，如果是一个的话，那肯定不行吗，因此微软就提供了 这个结构体数组，唉，我说的有点乱。

好了我们再来说下一个 结构体吧 IMAGE_THUNK_DATA

typedef struct _IMAGE_THUNK_DATA32 {

    union {

        PBYTE ForwarderString;

        PDWORD Function;                                  //这个应该是函数的地址吧，而且是相对的；

        DWORD Ordinal;

        PIMAGE_IMPORT_BY_NAME AddressOfData;

    } u1;

} IMAGE_THUNK_DATA32;

这个结构体他那 本身是一个联合体 ，我说一下我所知道的数据成员的含义；PDWORD Function; 这个是一个指向函数地址的，而AddressOfData是指向一个IMAGE_IMPORT_BY_NAME的结构体；

typedef struct _IMAGE_IMPORT_BY_NAME {

    WORD    Hint;

    BYTE    Name[1];

} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

这个结构体的第一个成员变量Hint是函数的序号；而Name[1];这是一个相对虚拟地址，指向这个函数的名字；好了，我们有了这些知识我们就可以查看一下 我们的程序里面都用了哪些成员函数，当然我们也可以修改哪些成员函数；我在上面说的有点乱，好了，那我来举个例子吧：