編譯過的二進(jìn)制代碼本身是一種數(shù)據(jù)結(jié)構(gòu)，在代碼被載入內(nèi)存執(zhí)行的時(shí)候，由操作系統(tǒng)對這種數(shù)據(jù)結(jié)構(gòu)進(jìn)行操作，具體到Win32平臺，就是所謂的PE文件頭。
 對于Windows系統(tǒng),源代碼是如何轉(zhuǎn)化為二進(jìn)制代碼?全局變量存儲在什么地方,如何初始化?共享變量是如何工作?理解PE文件格式能更好地理解上面的問題.舉個(gè)例子，我們使用C++編寫源代碼，這些源代碼被編譯器翻譯成obj格式的目標(biāo)文件，每一個(gè)目標(biāo)文件都包含著全局變量、常量數(shù)據(jù)、資源、可執(zhí)行代碼、用于鏈接的符號名以及調(diào)試信息。模塊的目標(biāo)文件通過鏈接器與庫鏈接在一起，而庫自身是一種將目標(biāo)文件組合在一起的格式。此外，鏈接器將所有已經(jīng)初始化的全局變量合并到一個(gè)段中，將所有未初始化的全局變量合并到另一個(gè)段中，再將所有的執(zhí)行代碼放入到另一個(gè)段中等。為什么要將目標(biāo)文件的不同部分進(jìn)行分組分段呢?主要是保護(hù)資源和優(yōu)化資源的使用。例如常數(shù)和可執(zhí)行代碼是只讀的，如果操作系統(tǒng)檢測到對這部分內(nèi)存進(jìn)行寫操作時(shí)，就會發(fā)出錯(cuò)誤。又例如，所有的Win32程序都是用同一個(gè)gdi32.dll，這樣就優(yōu)化了內(nèi)存的使用，gdi32.dll的可執(zhí)行代碼段自在內(nèi)存中存儲一次。
 PE文件格式

PE格式保留了多個(gè)目錄，通常可以看到的目錄有導(dǎo)入、綁定導(dǎo)入、延遲導(dǎo)入、到處、重定位、資源和調(diào)試信息。將這些段和目錄組合在一起，

加上兩個(gè)頭，就成為了PE文件。
 -----------------
|IMAGE_DOS_HEADER | : 兼容DOS程序運(yùn)行
|-----------------|
|DOS 存根程序     | : 小程序，用于顯示錯(cuò)誤信息的軟件中斷然后退出，
|-----------------|
|PE Header        | : 真正的PE頭
|-----------------|
|Section Table    |  : 段表
|-----------------|
|Section 1        |
|-----------------|
|Section 2        |
|-----------------|
|Section ...      |
|-----------------|
|Section n        |
 --------------
對于DOS存根程序，由于存根程序長度不定，所以要DOS頭的e_lfanew確定偏移。
段的名稱和作用如下：
節(jié)名   作用
.arch  最初的構(gòu)建信息(Alpha Architecture Information)
.bss   未經(jīng)初始化的數(shù)據(jù)
.CRT   C運(yùn)行期只讀數(shù)據(jù)
.data   已經(jīng)初始化的數(shù)據(jù)
.debug   調(diào)試信息
.didata  延遲輸入文件名表
.edata  導(dǎo)出文件名表
.idata  導(dǎo)入文件名表
.pdata      異常信息(Exception Information)
.rdata  只讀的初始化數(shù)據(jù)
.reloc  重定位表信息
.rsrc  資源
.text   .exe或.dll文件的可執(zhí)行代碼
.tls  線程的本地存儲器
.xdata  異常處理表

PE文件存儲的地址有些以虛擬地址的形式存儲，不過一旦其相應(yīng)模塊被加載，它們就可以使用。下面編寫一個(gè)簡單的PEFile的C++類，來說明
PE文件的使用。
我們要實(shí)現(xiàn)一個(gè)小小的鉤子程序，將MessageBoxA改成我們自己設(shè)定的程序中去，由于程序比較簡單，不再贅述，詳見程序中的注釋。
PEFile.h

#ifndef PE_FILE_H
#define PE_FILE_H

class PEFile
{
public:
    PEFile(HMODULE _hModule);
    const void* getDirectory(int _id);
    PIMAGE_IMPORT_DESCRIPTOR getImportDescriptor(LPCSTR _pDllName);
    const unsigned * getFunctionPtr(PIMAGE_IMPORT_DESCRIPTOR _pImport,LPCSTR _pProcName);
    FARPROC setImportAddress(LPCSTR _pDllName,LPCTSTR _pProcName,FARPROC _pNewProc);
    FARPROC setExportAddress(LPCSTR _pProcName,FARPROC _pNewProc);
private:
    const char* m_pModule;//模塊
    PIMAGE_DOS_HEADER m_pDOSHeader;//DOS頭
    PIMAGE_NT_HEADERS m_pNTHeader;//NT頭
};
#endif

PEFile.cpp

#include <Windows.h>
#include "PEFile.h"

PEFile::PEFile(HMODULE _hModule)
{
    m_pModule = (const char*)_hModule;
    if (IsBadReadPtr(m_pModule,sizeof(IMAGE_DOS_HEADER)))
    {
        m_pDOSHeader = 0;
        m_pNTHeader = 0;
    }
    else
    {
        m_pDOSHeader = (PIMAGE_DOS_HEADER)m_pModule;
        if (IsBadReadPtr(m_pModule + m_pDOSHeader->e_lfanew,sizeof(IMAGE_NT_HEADERS)))
        {
            m_pNTHeader = 0;
        }
        else
        {
            m_pNTHeader = (PIMAGE_NT_HEADERS)(m_pModule + m_pDOSHeader->e_lfanew);
        }
    }
}

const void* PEFile::getDirectory(int _id)
{
    return m_pModule + (m_pNTHeader->OptionalHeader.DataDirectory[_id].VirtualAddress);
}

//返回引入的模塊
PIMAGE_IMPORT_DESCRIPTOR PEFile::getImportDescriptor(LPCSTR _pDllName)
{
    PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)getDirectory(IMAGE_DIRECTORY_ENTRY_IMPORT);
    if (pImport == 0)
    {
        return 0;
    }
    //一個(gè)一個(gè)查找
    while(pImport->FirstThunk)
    {
        if (stricmp(_pDllName,m_pModule + pImport->Name) == 0)
        {
            return pImport;
        }
        ++pImport;
    }
    return 0;
}

//返回引入的函數(shù)
const unsigned * PEFile::getFunctionPtr(PIMAGE_IMPORT_DESCRIPTOR _pImport,LPCSTR _pProcName)
{
    PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)(m_pModule + _pImport->OriginalFirstThunk);
    //一個(gè)一個(gè)查找
    for (int i = 0; pThunk->u1.Function ; ++i)
    {
        bool isMatch = false;
        if (pThunk->u1.Ordinal & 0x80000000)
        {
            isMatch = (pThunk->u1.Ordinal & 0xFFFF) == ((DWORD)_pProcName);
        }
        else
        {
            isMatch = stricmp(_pProcName,(m_pModule + ((unsigned)pThunk->u1.AddressOfData +2 ))) == 0;
        }

        if (isMatch)
        {
            return ((unsigned *)(m_pModule + _pImport->FirstThunk)) + i;
        }
        ++pThunk;
    }
    return 0;
}

//設(shè)定導(dǎo)入的函數(shù)地址
FARPROC PEFile::setImportAddress(LPCSTR _pDllName,LPCTSTR _pProcName,FARPROC _pNewProc)
{
    PIMAGE_IMPORT_DESCRIPTOR pImport = getImportDescriptor(_pDllName);
    if (pImport)
    {
        //拿到某模塊的某函數(shù)地址
        const unsigned* pfn = getFunctionPtr(pImport,_pProcName);
        if (IsBadReadPtr(pfn,sizeof(DWORD)))
        {
            return 0;
        }
        FARPROC oldproc = (FARPROC)*pfn;

        //寫入自定的函數(shù)地址
        DWORD dwWritten;
        WriteProcessMemory(GetCurrentProcess(),(void*)pfn,&_pNewProc,sizeof(DWORD),&dwWritten);
        return oldproc;
    }
    return 0;
}

//導(dǎo)出目錄
FARPROC PEFile::setExportAddress(LPCSTR _pProcName,FARPROC _pNewProc)
{
    PIMAGE_EXPORT_DIRECTORY pExport = (PIMAGE_EXPORT_DIRECTORY)getDirectory(IMAGE_DIRECTORY_ENTRY_EXPORT);
    if (pExport == 0)
    {
        return 0;
    }
    unsigned ord = 0;
    if ((unsigned)_pProcName < 0xFFFF)
    {
        ord = (unsigned)_pProcName;
    }
    else
    {
        const DWORD* pNames = (const DWORD*)(m_pModule + pExport->AddressOfNames);
        const WORD* pOrds = (const WORD*)(m_pModule + pExport->AddressOfNameOrdinals);
        for (unsigned i = 0; i < pExport->AddressOfNames; ++i)
        {
            if (stricmp(_pProcName,m_pModule + pNames[i]) == 0)
            {
                ord = pExport->Base + pOrds[i];
                break;
            }
        }
    }
    if ( (ord < pExport->Base) || (ord > pExport->NumberOfFunctions))
    {
        return 0;
    }
    DWORD *pRVA = ((DWORD*)(m_pModule + pExport->AddressOfFunctions)) + ord - pExport->Base;
    DWORD rslt = *pRVA;
    DWORD dwWritten = 0;
    DWORD newRVA = (DWORD)_pNewProc - (DWORD)m_pModule;
    WriteProcessMemory(::GetCurrentProcess(),pRVA,&newRVA,sizeof(DWORD),&dwWritten);
    return (FARPROC)(m_pModule + rslt);
}

測試代碼：

#include <Windows.h>
#include "PEFile.h"


int WINAPI MyMessageBoxA(HWND hWnd,LPCSTR pText,LPCSTR pCaption,UINT uType)
{
    char buf1[128];
    char buf2[128];
    strcpy(buf1,pCaption);
    strcat(buf1,"  -  catch!");

    strcpy(buf2,pText);
    strcat(buf2,"  -  catch!");

    return MessageBoxExA(hWnd,buf2,buf1,uType,0);
}

int WINAPI WinMain( __in HINSTANCE hInstance, __in_opt HINSTANCE hPrevInstance, __in_opt LPSTR lpCmdLine, __in int nShowCmd )
{
    {
        PEFile pe(hInstance);
        pe.setImportAddress("user32.dll","MessageBoxA",(FARPROC)MyMessageBoxA);
        MessageBoxA(0,"Test","SetImportAddresss",MB_OK);
    }
    HMODULE hUser = GetModuleHandle("user32.dll");
    PEFile user32(hUser);
    FARPROC oldproc = GetProcAddress(hUser,"MessageBoxA");
    user32.setExportAddress("MessageBoxA",(FARPROC)MyMessageBoxA);
    FARPROC newproc = GetProcAddress(hUser,"MessageBoxA");
    char temp[64];
    wsprintf(temp, "GetProcAddress(MessageBoxA)\n"
        "changes from %x to %x", oldproc, newproc);
    MessageBoxA(NULL, temp, "SetExportAddress", MB_OK);
    return 0;
}

運(yùn)行一下可以發(fā)現(xiàn)，MessageBoxA已經(jīng)變成自定義的函數(shù)，并且使用導(dǎo)出目錄的方法導(dǎo)出函數(shù)，GetProcAddress將返回新函數(shù)的地址，將來DLL載入此進(jìn)程時(shí)也會和新函數(shù)鏈接。