?
3. PE文件頭?
??? 由 'PE' 00 00 4 bytes + PE文件頭 20 bytes 組成
???
??? typedef struct _IMAGE_NT_HEADERS
??? {
? ????? DWORD Signature;? //這個必需為50 45 00 (PE 00 00 )4字節? PE\0\0??
???????????????????????????????????????? //這是PE文件頭的標記, 我們可以此識別給定文件是否為有效PE文件。
??????? // ?如果IMAGE_NT_HEADERS的signature域值等于"PE\0\0",那么就是有效的PE文件
??????? // 實際上,為了比較方便,Microsoft已定義了常量IMAGE_NT_SIGNATURE供我們使用。??????? // IMAGE_DOS_SIGNATURE????? equ 5A4Dh????? MZ
??????? // IMAGE_OS2_SIGNATURE?????? equ 454Eh
??????? // IMAGE_OS2_SIGNATURE_LE equ 454Ch
??????? // IMAGE_VXD_SIGNATURE????? equ 454Ch
??????? // IMAGE_NT_SIGNATURE equ 4550h????????
??????? // 該結構域包含了關于PE文件邏輯分布的信息,雖然域名有"可選"字樣,但實際上本結構總是存在的。
?
??????? IMAGE_FILE_HEADER FileHeader;? // 該結構包含了PE文件物理分布的信息,如節數目,PE文件的執行機器等?
???????????????
??????? IMAGE_OPTIONAL_HEADER32 OptionalHeader; 可選頭結構
??? } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
?
??? typedef struct _IMAGE_FILE_HEADER
??? {
? ????? WORD? ? Machine;?????????????????????? ?//
INTEL 80386以上處理器必需為 4C 01 二字節
? ???? ?WORD? ? NumberOfSections;
?????? // 段的個數 // P: 1. 是指哪里的 Sections ?? 2. 最多可以有多少個 Sections?
??????? DWORD? TimeDateStamp;??????????? // 文件的創建日期和時間
??????? DWORD? PointerToSymbolTable;? // 用于調試
? ????? DWORD? NumberOfSymbols;??????? // 用于調試
? ????? WORD? ? SizeOfOptionalHeader;?? //
_IMAGE_OPTIONAL_HEADER有224字節所以為 E0 00
? ????? WORD? ? Characteristics;?????????? ?? // 關于文件信息的標記,比如文件是EXE還是DLL?? EXE可執行文件為02 00??
??? } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;?
?
??? 注:
???(1). Machine 字段表示這個PE文件被Build的目錄機器種類,eg DEC(R) Alpha、MIPS R4000、Inter(R) x86
????? 已知的合法值:?
??????IMAGE_FILE_MACHINE_I386 (0x14c)
??????????? Intel 80386 處理器或更高?
???? 0x014d
??????????? Intel 80386 處理器或更高?
???? 0x014e
??????????? Intel 80386 處理器或更高?
???? 0x0160?????????
???????????? R3000 (MIPS⑧)處理器,大尾⑨?
???? IMAGE_FILE_MACHINE_R3000 (0x162)
???????????? R3000 (MIPS)處理器,小尾?
???? IMAGE_FILE_MACHINE_R4000 (0x166)
???????????? R4000 (MIPS)處理器,小尾?
???? IMAGE_FILE_MACHINE_R10000 (0x168)
???????????? R10000 (MIPS)處理器,小尾?
???? IMAGE_FILE_MACHINE_ALPHA (0x184)
???????????? DEC Alpha AXP⑩處理器?
???? IMAGE_FILE_MACHINE_POWERPC (0x1F0)
???????????? IBM Power PC,小尾
(2).
NumberOfSections 字段表示 這個PE文件有多少個段(多少個段頭部和多少個段實體,每個段頭部和段實體都在文件中連續排列,?所以要決定段頭部和段實體在哪里結束的話,段的數目是必需的)
???
(3). 判斷一個文件是否是合法的PE文件
????????? a. 比較 MZ 頭的 e_magic 值是否為 IMAGE_DOS_SIGNATURE以驗證是否是有效的DOS header
????????? b. 通過 MZ 頭的 e_lfanew 所指向的偏移獲取 PE 頭
????????? c. 比較 PE 頭的 Signature 值是否為 IMAGE_NT_SIGNATURE
????????? 如果滿足以上條件,則可以認為是一個合法的PE文件
?
(4). TimeDateStamp(32位),用來給出文件建立的時間。
???????? 同一個文件的不同版本必須唯一,時間戳的格式沒有明文規定,但似乎是按照UTC?
???????? (
時間“從1970年1月1日00:00:00算起的秒數值”----也就是大多數C語言編譯器給time_t標志使用的格式。)
?????????P: 這個時間戳是用來綁定各個輸入目錄的?
???????? 警告:有一些鏈接器往往將時間戳設為荒唐的值,而不是如前所述的time_t格式的鏈接時間。
?
(5).
PointerToSymbolTable? 符號表指針
?????? NumberOfSymbols??????? 符號數
??????用于調試,
P: 總是為 0x00, 即使在 VC IDE 的 Project Setting 中設置了生成調試信息,也是為 0x00 , 為什么???????????
P: 1. NumberOfSections 表示 段的個數,那么 WIN32.PE 最多有多少段?
?
?(6). SizeOfOptionalHeader
(16位)只是“IMAGE_OPTIONAL_HEADER(可選頭)”項的大小,?
P: 只是用于驗證PE文件結構的正確性?? 除了
E0 00 外是否有其它值?
(7). Characteristics (16位) 由許多標志集合組成
位1? IMAGE_FILE_EXECUTABLE_IMAGE(可執行映象文件) 表示如果文件是一個可執行文件,
也即不是目標文件或者庫文件時,置1。?如果鏈接器嘗試創建一個可執行文件,卻因為一些原因失敗了,并保存映像以便下次例如增量鏈接時使用,此時此標志位也可能置1。?
位2? IMAGE_FILE_LINE_NUMS_STRIPPED(行數被剝離文件) 表示如果行數信息被剝除,此位置1;此位也不用于可執行文件。P:可執行文件不也有行數信息(假如PE編譯時加上調試信息的話)?
位3 IMAGE_FILE_LOCAL_SYMS_STRIPPED(本地符號被剝離文件) 表示如果文件中沒有關于本地符號的信息時,此位置1(此位也不用于可執行文件)。P: 同問
位4 IMAGE_FILE_AGGRESIVE_WS_TRIM(強行工作集修剪文件) 表示如果操作系統被假定為:通過將正在運行的進程(它所使用的內存數量)強行的頁清除來修剪它的工作集時,此位置1。如果一進程是大部分時間處于等待,且一天中僅被喚醒一次的演示性的應用程序之類時,此位也應該被置1。P: 沒看懂這句的意思。
P: 第 5,6 位跑哪去了??
位7 IMAGE_FILE_BYTES_REVERSED_LO(低字節變換文件)和 位15IMAGE_FILE_BYTES_REVERSED_HI(高字節變換文件) 表示如果一文件的字節序不是機器所預期的形式,因此它在讀入前必須調換字節時,此位置1。這樣做對可執行文件是不可靠的(操作系統期望可執行文件都已經被正確地按字節排整齊了)。
位8 IMAGE_FILE_32BIT_MACHINE(32位機器文件) 表示如果使用的機器被期望為32位的機器時,此位置1。現在的應用程序總將此位置1;NT5系統可能工作不同。
位9 IMAGE_FILE_DEBUG_STRIPPED(調試信息被剝離文件) 表示如果文件中沒有調試信息,此位置1。此位可執行文件不用。P: (PE文件不是可以包含調試信息?)
按照其它信息([6])(這里指的是參考書目中的第[6]種----譯者注),此位被稱作“恒定”,并且當一個映象文件只有在被裝入優先的裝入地址才能運行(亦即:此文件不可重定位)時,此位置1。
位10 IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP(移動介質文件從交換文件運行) 表示如果一個應用程序不可以從可移動的介質,如軟盤或CD-ROM上運行時,此位置1。在這種情況下,建議操作系統將文件復制到交換文件并從那里執行。P: 不是很懂這里的意思,'軟盤或CD-ROM上運行時,此位置1。'
位11 IMAGE_FILE_NET_RUN_FROM_SWAP(網絡文件從交換文件運行) 表示如果一個應用程序不可以從網絡上運行時,此位置1。在這種情況下,建議操作系統將文件復制到交換文件并從那里執行。
位12 IMAGE_FILE_SYSTEM(系統文件) 表示如果文件是一個象驅動程序那樣的系統文件,此位置1。此位可執行文件不用;我所見過的所有NT系統的驅動程序也不用。
位13 IMAGE_FILE_DLL(DLL文件) 表示如果文件是一個DLL文件時,此位置1。
位14 IMAGE_FILE_UP_SYSTEM_ONLY(僅但處理器系統的文件) 表示如果文件不設計運行在多處理器系統上(也就是說,因為此文件嚴格地依賴單一處理器的一些方式工作,所以它會發生沖突)時,此位置1。
#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES???? 16
typedef struct _IMAGE_OPTIONAL_HEADER
{?
???????? //
? ??? ?? // Standard fields.
? ???? ? //
? ????? ?WORD?? Magic;???????????????????
// 總是 0B 01??P: 可選頭的標志?意義是?
???????? BYTE? ? MajorLinkerVersion;?? // 0 鏈接器的主版本號? // P:不同的鏈接器設置不同,因此不可靠?
???????? BYTE? ? MinorLinkerVersion;?? // 0 鏈接器的小版本號
???????? DWORD? SizeOfCode;?????????? // 0??????????????????????? // 可執行的代碼的大小?
???????? P: 這里的可執行代碼是指整個PE文件的可執行代碼段?
???????? DWORD? SizeOfInitializedData;???? // 0????????????????? // 已初始化數據的大小 ,數據段
???????? DWORD? SizeOfUninitializedData;? // 0????????????????? // 未初始化數據的大小, BSS段?
???????? P: 已初始化的數據跟未初始化的數據有什么區別?它們都在數據段?
???????? DWORD? AddressOfEntryPoint;???? //??????????????????? //? 代碼的入口點地址(是一個偏移量,RVA), 如 LibMain, WinMain....
???????? DWORD? BaseOfCode;? // 0?????????????????????????????? //? 可執行代碼的偏移量, 代碼基址?
???????? P: 不是很懂這里的意思,跟 AddressOfEntryPoint 的區別是?
???????? DWORD? BaseOfData;? // 0?????????????????????????????? //? 已初始化數據偏稱量,數據基址? P: 同問
???????
???????? //
? ?????? // NT additional fields.
? ?????? //
? ?????? DWORD? ImageBase;????????? //載入程序的RVA地址,LOADER可以改變 00 00 40 00 == 0x400000
? ?????? DWORD? SectionAlignment; //段加載后在內存的對齊方式 00 10 00 00
? ?????? DWORD? FileAlignment;????? //段在文件中的對齊方式 00 20 00 00
? ????? ?WORD? ? MajorOperatingSystemVersion;? // 0
? ????? ?WORD? ? MinorOperatingSystemVersion;? // 0
? ????? ?WORD? ? MajorImageVersion;??????????????? //? 0
??????? ?WORD? ? MinorImageVersion;??????????????? //? 0
? ????? ?WORD? ? MajorSubsystemVersion; //子系統版本號如果不是4.0? 對話框不能顯示3D風格 04 00
? ????? ?WORD? ? MinorSubsystemVersion; // 0
? ????? ?DWORD? Win32VersionValue;?????? // 0
??????? ?DWORD? SizeOfImage;?????????????? // 映射到內存的代碼長度
??????? ?DWORD? SizeOfHeaders; //所有文件頭長度之和 00 04 00 00???? (對齊后的, 包所在節?)
? ????? ?DWORD? CheckSum;????? // 校驗和,用 0?
??????? ?WORD? ? Subsystem;???? // 子系統 02 00 或03 00 ?
? ????? ?WORD? ? DllCharacteristics;???? // 00
? ????? ?DWORD? SizeOfStackReserve;? // 00
??????? ?DWORD? SizeOfStackCommit;
? ????? ?DWORD? SizeOfHeapReserve;
? ????? ?DWORD? SizeOfHeapCommit;
? ????? ?DWORD? LoaderFlags;???????????? // 00
??????? ?DWORD? NumberOfRvaAndSizes;?
??????
????? ???IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
???????? // 16個結構,第二個結構(導入表)?
???? } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;