??? {?
???? ??? //
? ??? ?? // Standard fields.
? ???? ? //
? ????? ?WORD?? Magic;???????????????????
// 總是 0B 01??P: 可選頭的標(biāo)志?意義是?
???????? BYTE? ? MajorLinkerVersion;?? // 0 鏈接器的主版本號(hào)? // P:不同的鏈接器設(shè)置不同,因此不可靠?
???????? BYTE? ? MinorLinkerVersion;?? // 0 鏈接器的小版本號(hào)
???????? DWORD? SizeOfCode;?????????? // 0??????????????????????? // 可執(zhí)行的代碼的大小? P: 這里的可執(zhí)行代碼是指整個(gè)PE文件的可執(zhí)行代碼段?
???????? DWORD? SizeOfInitializedData;???? // 0????????????????? // 已初始化數(shù)據(jù)的大小 ,數(shù)據(jù)段
???????? DWORD? SizeOfUninitializedData;? // 0????????????????? // 未初始化數(shù)據(jù)的大小, BSS段? P: 已初始化的數(shù)據(jù)跟未初始化的數(shù)據(jù)有什么區(qū)別?它們都在數(shù)據(jù)段?
???????? DWORD? AddressOfEntryPoint;???? //??????????????????? //? 代碼的入口點(diǎn)地址(是一個(gè)偏移量,RVA), 如 LibMain, WinMain....
???????? DWORD? BaseOfCode;? // 0?????????????????????????????? //? 可執(zhí)行代碼的偏移量, 代碼基址? P: 不是很懂這里的意思,跟 AddressOfEntryPoint 的區(qū)別是?
???????? DWORD? BaseOfData;? // 0?????????????????????????????? //? 已初始化數(shù)據(jù)偏稱量,數(shù)據(jù)基址? P: 同問
???????
???????? //
? ?????? // NT additional fields.
? ?????? //
? ?????? DWORD? ImageBase;????????? //載入程序的RVA地址,LOADER可以改變 00 00 40 00 == 0x400000
? ?????? DWORD? SectionAlignment;?? //段加載后在內(nèi)存的對(duì)齊方式 00 10 00 00
? ?????? DWORD? FileAlignment;???????? //段在文件中的對(duì)齊方式????? 00 20 00 00
? ????? ?WORD? ? MajorOperatingSystemVersion;? // 0
? ????? ?WORD? ? MinorOperatingSystemVersion;? // 0
? ????? ?WORD? ? MajorImageVersion;??????????????? //? 0
??????? ?WORD? ? MinorImageVersion;??????????????? //? 0
? ????? ?WORD? ? MajorSubsystemVersion; //子系統(tǒng)版本號(hào)如果不是4.0? 對(duì)話框不能顯示3D風(fēng)格 04 00
? ????? ?WORD? ? MinorSubsystemVersion; // 0
? ????? ?DWORD? Win32VersionValue;?????? // 0?? P:沒有作用?通常為0
?????????DWORD? SizeOfImage;?????????????? // 映象文件將要使用的內(nèi)存數(shù)量, 如果是按照“SectionAlignment”對(duì)齊的,它就是所有頭和節(jié)的長(zhǎng)度的總和。它提示加載器,為了載入映象文件需要多少頁(yè)。
?????????DWORD? SizeOfHeaders; //給出所有頭的總長(zhǎng)度,包括數(shù)據(jù)目錄和節(jié)頭(‘SizeOfHeaders’,“頭的大小”)。同時(shí),它也是從文件的開頭到第一節(jié)的原始數(shù)據(jù)的偏移量。
?????????DWORD? CheckSum;????? // 校驗(yàn)和,用 0?
??????? ?WORD? ? Subsystem;???? // 子系統(tǒng) 02 00 或03 00 ?
? ????? ?WORD? ? DllCharacteristics;???? // 00
? ????? ?DWORD? SizeOfStackReserve;? // 00
??????? ?DWORD? SizeOfStackCommit;
? ????? ?DWORD? SizeOfHeapReserve;
? ????? ?DWORD? SizeOfHeapCommit;
? ????? ?DWORD? LoaderFlags;???????????? // 00
??????? ?DWORD? NumberOfRvaAndSizes;?
??????
????? ???IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
// 16個(gè)結(jié)構(gòu),第二個(gè)結(jié)構(gòu)(導(dǎo)入表)?
???? } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
?
???? 1. CheckSum:
???? 這個(gè)校驗(yàn)和,對(duì)于當(dāng)前的NT版本,只在映象文件是NT驅(qū)動(dòng)程序時(shí)才校驗(yàn)(如果校驗(yàn)和不正確,驅(qū)動(dòng)就將裝載失敗)。
???? 對(duì)于其他的二進(jìn)制文件形式,校驗(yàn)和不需提供并且可能為0。
???? 計(jì)算校驗(yàn)和的算法是微軟的私產(chǎn),他們不會(huì)告訴你的。
???? 但是,Win32 SDK的好幾個(gè)工具都會(huì)計(jì)算和/或補(bǔ)正一個(gè)有效的校驗(yàn)和,而且imagehelp.dll中的CheckSumMappedFile()函數(shù)也會(huì)做同樣的工作。
???? 使用校驗(yàn)和的目的是為了防止載入無論如何都會(huì)沖突的、已損壞的二進(jìn)制文件----況且一個(gè)沖突的驅(qū)動(dòng)程序會(huì)導(dǎo)致一個(gè)BSOD?錯(cuò)誤,因此最好根本就不載入這樣的壞文件。
????
???? 2. Subsystem
??????? IMAGE_SUBSYSTEM_NATIVE (1)
???????????? 二進(jìn)制文件不需要子系統(tǒng)。用于驅(qū)動(dòng)程序。
???????
??????? IMAGE_SUBSYSTEM_WINDOWS_GUI (2)
???????????? 映象文件是一個(gè)Win32二進(jìn)制圖象文件。(它還是能用AllocConsole()打開一個(gè)控制臺(tái)界面,但在開始時(shí)卻不能自動(dòng)地打開。)
????????????
??????? IMAGE_SUBSYSTEM_WINDOWS_CUI (3)
???????????? 二進(jìn)制文件是一個(gè)Win32控制臺(tái)界面二進(jìn)制文件。(它將在開始時(shí)按照缺省值打開一個(gè)控制臺(tái),或者繼承其父程序的控制臺(tái)。)
??????? IMAGE_SUBSYSTEM_OS2_CUI (5)
????????????? 二進(jìn)制文件是一個(gè)OS/2控制臺(tái)界面二進(jìn)制文件。(OS/2控制臺(tái)界面二進(jìn)制文件是OS/2格式,因此此值在PE文件中很少使用。)
??????? IMAGE_SUBSYSTEM_POSIX_CUI (7)
????????????? 二進(jìn)制文件使用POSIX?控制臺(tái)子系統(tǒng)。
???????
????????Windows 95的二進(jìn)制文件總是使用Win32子系統(tǒng),因此它的二進(jìn)制文件的合法值只有2和3;我不知道windows 95的“原”二進(jìn)制文件是否可能(會(huì)有其它值----譯者添加,僅供參考)。
????????????
?????3.? DllCharacteristics
????????? 如果是DLL文件,何時(shí)調(diào)用DLL文件的入口點(diǎn)(‘DllCharacteristics’,“DLL特性”)。此值似乎不用;很明顯地,DLL文件總是被通報(bào)所有的情況。
?????????如果位0被置1,DLL文件被通知進(jìn)程附加(亦即DLL載入)。
?????????如果位1被置1,DLL文件被通知線程附加(亦即線程終止)。
?????????如果位2被置1,DLL文件被通知線程附加(亦即線程創(chuàng)建)。
?????????如果位3被置1,DLL文件被通知進(jìn)程附加(亦即DLL卸載)。
???????? P: 不是很明白這里的意思。????????
?
???? 4. SizeOfStackReserve? 保留棧的大小
???? 5. SizeOfStackCommit?? 初始時(shí)指定棧大小
???? 6. SizeOfHeapReserve?? 保留堆的大小
???? 7. SizeOfHeapCommit??? 指定堆大小
?????
???? “保留的”數(shù)量是保留給特定目的的地址空間(不是真正的RAM);
??????在程序開始時(shí),“指定的”數(shù)量是指在RAM中實(shí)際分配的大小。
????? 如果需要的話,“指定的”值也是指定的堆或棧用來增加的數(shù)量。(有資料說,不管“SizeOfStackCommit”的值是多少,棧都是按頁(yè)增加的。我沒有驗(yàn)證過。)
????? 因此,舉例來說,如一個(gè)程序的保留堆有1 MB,指定堆為64 KB,那么啟動(dòng)時(shí)堆的大小為64 KB,并且保證可以擴(kuò)大到1 MB。
????? 堆將按64 KB一塊來增加。“堆”在本文中是指主要(缺省)堆。如果它愿意的話,一個(gè)進(jìn)程可創(chuàng)建很多堆。
????? 棧是指第一個(gè)線程的棧(啟動(dòng)main()的那個(gè))。進(jìn)程可以創(chuàng)建很多線程,每個(gè)線程都有自己的棧。
??????DLL文件沒有自己的堆或棧,所以它們的映象文件忽略這些值。我不知道驅(qū)動(dòng)程序是否有它們自己的堆或棧,但我認(rèn)為它們沒有。
?????8. ?LoaderFlags 設(shè)置為 0 , P: 作用未知
?
???? 9.
NumberOfRvaAndSizes?
??????? 它是緊隨其后的目錄的有效項(xiàng)的數(shù)目。我已發(fā)現(xiàn)此值不可靠;你也許希望用常量IMAGE_NUMBEROF_DIRECTORY_ENTRIES(映象文件目錄項(xiàng)數(shù)目)來代替它,或者用它們中的較小者。