編譯過的二進制代碼本身是一種數(shù)據(jù)結構，在代碼被載入內存執(zhí)行的時候，由操作系統(tǒng)對這種數(shù)據(jù)結構進行操作，具體到Win32平臺，就是所謂的PE文件頭。
 對于Windows系統(tǒng),源代碼是如何轉化為二進制代碼?全局變量存儲在什么地方,如何初始化?共享變量是如何工作?理解PE文件格式能更好地理解上面的問題.舉個例子，我們使用C++編寫源代碼，這些源代碼被編譯器翻譯成obj格式的目標文件，每一個目標文件都包含著全局變量、常量數(shù)據(jù)、資源、可執(zhí)行代碼、用于鏈接的符號名以及調試信息。模塊的目標文件通過鏈接器與庫鏈接在一起，而庫自身是一種將目標文件組合在一起的格式。此外，鏈接器將所有已經初始化的全局變量合并到一個段中，將所有未初始化的全局變量合并到另一個段中，再將所有的執(zhí)行代碼放入到另一個段中等。為什么要將目標文件的不同部分進行分組分段呢?主要是保護資源和優(yōu)化資源的使用。例如常數(shù)和可執(zhí)行代碼是只讀的，如果操作系統(tǒng)檢測到對這部分內存進行寫操作時，就會發(fā)出錯誤。又例如，所有的Win32程序都是用同一個gdi32.dll，這樣就優(yōu)化了內存的使用，gdi32.dll的可執(zhí)行代碼段自在內存中存儲一次。
 PE文件格式

PE格式保留了多個目錄，通常可以看到的目錄有導入、綁定導入、延遲導入、到處、重定位、資源和調試信息。將這些段和目錄組合在一起，

加上兩個頭，就成為了PE文件。
 -----------------
|IMAGE_DOS_HEADER | : 兼容DOS程序運行
|-----------------|
|DOS 存根程序     | : 小程序，用于顯示錯誤信息的軟件中斷然后退出，
|-----------------|
|PE Header        | : 真正的PE頭
|-----------------|
|Section Table    |  : 段表
|-----------------|
|Section 1        |
|-----------------|
|Section 2        |
|-----------------|
|Section ...      |
|-----------------|
|Section n        |
 --------------
對于DOS存根程序，由于存根程序長度不定，所以要DOS頭的e_lfanew確定偏移。
段的名稱和作用如下：
節(jié)名   作用
.arch  最初的構建信息(Alpha Architecture Information)
.bss   未經初始化的數(shù)據(jù)
.CRT   C運行期只讀數(shù)據(jù)
.data   已經初始化的數(shù)據(jù)
.debug   調試信息
.didata  延遲輸入文件名表
.edata  導出文件名表
.idata  導入文件名表
.pdata      異常信息(Exception Information)
.rdata  只讀的初始化數(shù)據(jù)
.reloc  重定位表信息
.rsrc  資源
.text   .exe或.dll文件的可執(zhí)行代碼
.tls  線程的本地存儲器
.xdata  異常處理表

PE文件存儲的地址有些以虛擬地址的形式存儲，不過一旦其相應模塊被加載，它們就可以使用。下面編寫一個簡單的PEFile的C++類，來說明
PE文件的使用。
我們要實現(xiàn)一個小小的鉤子程序，將MessageBoxA改成我們自己設定的程序中去，由于程序比較簡單，不再贅述，詳見程序中的注釋。
PEFile.h

#ifndef PE_FILE_H
#define PE_FILE_H

class PEFile
{
public:
    PEFile(HMODULE _hModule);
    const void* getDirectory(int _id);
    PIMAGE_IMPORT_DESCRIPTOR getImportDescriptor(LPCSTR _pDllName);
    const unsigned * getFunctionPtr(PIMAGE_IMPORT_DESCRIPTOR _pImport,LPCSTR _pProcName);
    FARPROC setImportAddress(LPCSTR _pDllName,LPCTSTR _pProcName,FARPROC _pNewProc);
    FARPROC setExportAddress(LPCSTR _pProcName,FARPROC _pNewProc);
private:
    const char* m_pModule;//模塊
    PIMAGE_DOS_HEADER m_pDOSHeader;//DOS頭
    PIMAGE_NT_HEADERS m_pNTHeader;//NT頭
};
#endif

PEFile.cpp

#include <Windows.h>
#include "PEFile.h"

PEFile::PEFile(HMODULE _hModule)
{
    m_pModule = (const char*)_hModule;
    if (IsBadReadPtr(m_pModule,sizeof(IMAGE_DOS_HEADER)))
    {
        m_pDOSHeader = 0;
        m_pNTHeader = 0;
    }
    else
    {
        m_pDOSHeader = (PIMAGE_DOS_HEADER)m_pModule;
        if (IsBadReadPtr(m_pModule + m_pDOSHeader->e_lfanew,sizeof(IMAGE_NT_HEADERS)))
        {
            m_pNTHeader = 0;
        }
        else
        {
            m_pNTHeader = (PIMAGE_NT_HEADERS)(m_pModule + m_pDOSHeader->e_lfanew);
        }
    }
}

const void* PEFile::getDirectory(int _id)
{
    return m_pModule + (m_pNTHeader->OptionalHeader.DataDirectory[_id].VirtualAddress);
}

//返回引入的模塊
PIMAGE_IMPORT_DESCRIPTOR PEFile::getImportDescriptor(LPCSTR _pDllName)
{
    PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)getDirectory(IMAGE_DIRECTORY_ENTRY_IMPORT);
    if (pImport == 0)
    {
        return 0;
    }
    //一個一個查找
    while(pImport->FirstThunk)
    {
        if (stricmp(_pDllName,m_pModule + pImport->Name) == 0)
        {
            return pImport;
        }
        ++pImport;
    }
    return 0;
}

//返回引入的函數(shù)
const unsigned * PEFile::getFunctionPtr(PIMAGE_IMPORT_DESCRIPTOR _pImport,LPCSTR _pProcName)
{
    PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)(m_pModule + _pImport->OriginalFirstThunk);
    //一個一個查找
    for (int i = 0; pThunk->u1.Function ; ++i)
    {
        bool isMatch = false;
        if (pThunk->u1.Ordinal & 0x80000000)
        {
            isMatch = (pThunk->u1.Ordinal & 0xFFFF) == ((DWORD)_pProcName);
        }
        else
        {
            isMatch = stricmp(_pProcName,(m_pModule + ((unsigned)pThunk->u1.AddressOfData +2 ))) == 0;
        }

        if (isMatch)
        {
            return ((unsigned *)(m_pModule + _pImport->FirstThunk)) + i;
        }
        ++pThunk;
    }
    return 0;
}

//設定導入的函數(shù)地址
FARPROC PEFile::setImportAddress(LPCSTR _pDllName,LPCTSTR _pProcName,FARPROC _pNewProc)
{
    PIMAGE_IMPORT_DESCRIPTOR pImport = getImportDescriptor(_pDllName);
    if (pImport)
    {
        //拿到某模塊的某函數(shù)地址
        const unsigned* pfn = getFunctionPtr(pImport,_pProcName);
        if (IsBadReadPtr(pfn,sizeof(DWORD)))
        {
            return 0;
        }
        FARPROC oldproc = (FARPROC)*pfn;

        //寫入自定的函數(shù)地址
        DWORD dwWritten;
        WriteProcessMemory(GetCurrentProcess(),(void*)pfn,&_pNewProc,sizeof(DWORD),&dwWritten);
        return oldproc;
    }
    return 0;
}

//導出目錄
FARPROC PEFile::setExportAddress(LPCSTR _pProcName,FARPROC _pNewProc)
{
    PIMAGE_EXPORT_DIRECTORY pExport = (PIMAGE_EXPORT_DIRECTORY)getDirectory(IMAGE_DIRECTORY_ENTRY_EXPORT);
    if (pExport == 0)
    {
        return 0;
    }
    unsigned ord = 0;
    if ((unsigned)_pProcName < 0xFFFF)
    {
        ord = (unsigned)_pProcName;
    }
    else
    {
        const DWORD* pNames = (const DWORD*)(m_pModule + pExport->AddressOfNames);
        const WORD* pOrds = (const WORD*)(m_pModule + pExport->AddressOfNameOrdinals);
        for (unsigned i = 0; i < pExport->AddressOfNames; ++i)
        {
            if (stricmp(_pProcName,m_pModule + pNames[i]) == 0)
            {
                ord = pExport->Base + pOrds[i];
                break;
            }
        }
    }
    if ( (ord < pExport->Base) || (ord > pExport->NumberOfFunctions))
    {
        return 0;
    }
    DWORD *pRVA = ((DWORD*)(m_pModule + pExport->AddressOfFunctions)) + ord - pExport->Base;
    DWORD rslt = *pRVA;
    DWORD dwWritten = 0;
    DWORD newRVA = (DWORD)_pNewProc - (DWORD)m_pModule;
    WriteProcessMemory(::GetCurrentProcess(),pRVA,&newRVA,sizeof(DWORD),&dwWritten);
    return (FARPROC)(m_pModule + rslt);
}

測試代碼：

#include <Windows.h>
#include "PEFile.h"


int WINAPI MyMessageBoxA(HWND hWnd,LPCSTR pText,LPCSTR pCaption,UINT uType)
{
    char buf1[128];
    char buf2[128];
    strcpy(buf1,pCaption);
    strcat(buf1,"  -  catch!");

    strcpy(buf2,pText);
    strcat(buf2,"  -  catch!");

    return MessageBoxExA(hWnd,buf2,buf1,uType,0);
}

int WINAPI WinMain( __in HINSTANCE hInstance, __in_opt HINSTANCE hPrevInstance, __in_opt LPSTR lpCmdLine, __in int nShowCmd )
{
    {
        PEFile pe(hInstance);
        pe.setImportAddress("user32.dll","MessageBoxA",(FARPROC)MyMessageBoxA);
        MessageBoxA(0,"Test","SetImportAddresss",MB_OK);
    }
    HMODULE hUser = GetModuleHandle("user32.dll");
    PEFile user32(hUser);
    FARPROC oldproc = GetProcAddress(hUser,"MessageBoxA");
    user32.setExportAddress("MessageBoxA",(FARPROC)MyMessageBoxA);
    FARPROC newproc = GetProcAddress(hUser,"MessageBoxA");
    char temp[64];
    wsprintf(temp, "GetProcAddress(MessageBoxA)\n"
        "changes from %x to %x", oldproc, newproc);
    MessageBoxA(NULL, temp, "SetExportAddress", MB_OK);
    return 0;
}

運行一下可以發(fā)現(xiàn)，MessageBoxA已經變成自定義的函數(shù)，并且使用導出目錄的方法導出函數(shù)，GetProcAddress將返回新函數(shù)的地址，將來DLL載入此進程時也會和新函數(shù)鏈接。