??? {?
???? ??? //
? ??? ?? // Standard fields.
? ???? ? //
? ????? ?WORD?? Magic;???????????????????
// 總是 0B 01??P: 可選頭的標志?意義是?
???????? BYTE? ? MajorLinkerVersion;?? // 0 鏈接器的主版本號? // P:不同的鏈接器設置不同,因此不可靠?
???????? BYTE? ? MinorLinkerVersion;?? // 0 鏈接器的小版本號
???????? DWORD? SizeOfCode;?????????? // 0??????????????????????? // 可執行的代碼的大小? P: 這里的可執行代碼是指整個PE文件的可執行代碼段?
???????? DWORD? SizeOfInitializedData;???? // 0????????????????? // 已初始化數據的大小 ,數據段
???????? DWORD? SizeOfUninitializedData;? // 0????????????????? // 未初始化數據的大小, BSS段? P: 已初始化的數據跟未初始化的數據有什么區別?它們都在數據段?
???????? DWORD? AddressOfEntryPoint;???? //??????????????????? //? 代碼的入口點地址(是一個偏移量,RVA), 如 LibMain, WinMain....
???????? DWORD? BaseOfCode;? // 0?????????????????????????????? //? 可執行代碼的偏移量, 代碼基址? P: 不是很懂這里的意思,跟 AddressOfEntryPoint 的區別是?
???????? DWORD? BaseOfData;? // 0?????????????????????????????? //? 已初始化數據偏稱量,數據基址? P: 同問
???????
???????? //
? ?????? // NT additional fields.
? ?????? //
? ?????? DWORD? ImageBase;????????? //載入程序的RVA地址,LOADER可以改變 00 00 40 00 == 0x400000
? ?????? DWORD? SectionAlignment;?? //段加載后在內存的對齊方式 00 10 00 00
? ?????? DWORD? FileAlignment;???????? //段在文件中的對齊方式????? 00 20 00 00
? ????? ?WORD? ? MajorOperatingSystemVersion;? // 0
? ????? ?WORD? ? MinorOperatingSystemVersion;? // 0
? ????? ?WORD? ? MajorImageVersion;??????????????? //? 0
??????? ?WORD? ? MinorImageVersion;??????????????? //? 0
? ????? ?WORD? ? MajorSubsystemVersion; //子系統版本號如果不是4.0? 對話框不能顯示3D風格 04 00
? ????? ?WORD? ? MinorSubsystemVersion; // 0
? ????? ?DWORD? Win32VersionValue;?????? // 0?? P:沒有作用?通常為0
?????????DWORD? SizeOfImage;?????????????? // 映象文件將要使用的內存數量, 如果是按照“SectionAlignment”對齊的,它就是所有頭和節的長度的總和。它提示加載器,為了載入映象文件需要多少頁。
?????????DWORD? SizeOfHeaders; //給出所有頭的總長度,包括數據目錄和節頭(‘SizeOfHeaders’,“頭的大小”)。同時,它也是從文件的開頭到第一節的原始數據的偏移量。
?????????DWORD? CheckSum;????? // 校驗和,用 0?
??????? ?WORD? ? Subsystem;???? // 子系統 02 00 或03 00 ?
? ????? ?WORD? ? DllCharacteristics;???? // 00
? ????? ?DWORD? SizeOfStackReserve;? // 00
??????? ?DWORD? SizeOfStackCommit;
? ????? ?DWORD? SizeOfHeapReserve;
? ????? ?DWORD? SizeOfHeapCommit;
? ????? ?DWORD? LoaderFlags;???????????? // 00
??????? ?DWORD? NumberOfRvaAndSizes;?
??????
????? ???IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
// 16個結構,第二個結構(導入表)?
???? } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
?
???? 1. CheckSum:
???? 這個校驗和,對于當前的NT版本,只在映象文件是NT驅動程序時才校驗(如果校驗和不正確,驅動就將裝載失敗)。
???? 對于其他的二進制文件形式,校驗和不需提供并且可能為0。
???? 計算校驗和的算法是微軟的私產,他們不會告訴你的。
???? 但是,Win32 SDK的好幾個工具都會計算和/或補正一個有效的校驗和,而且imagehelp.dll中的CheckSumMappedFile()函數也會做同樣的工作。
???? 使用校驗和的目的是為了防止載入無論如何都會沖突的、已損壞的二進制文件----況且一個沖突的驅動程序會導致一個BSOD?錯誤,因此最好根本就不載入這樣的壞文件。
????
???? 2. Subsystem
??????? IMAGE_SUBSYSTEM_NATIVE (1)
???????????? 二進制文件不需要子系統。用于驅動程序。
???????
??????? IMAGE_SUBSYSTEM_WINDOWS_GUI (2)
???????????? 映象文件是一個Win32二進制圖象文件。(它還是能用AllocConsole()打開一個控制臺界面,但在開始時卻不能自動地打開。)
????????????
??????? IMAGE_SUBSYSTEM_WINDOWS_CUI (3)
???????????? 二進制文件是一個Win32控制臺界面二進制文件。(它將在開始時按照缺省值打開一個控制臺,或者繼承其父程序的控制臺。)
??????? IMAGE_SUBSYSTEM_OS2_CUI (5)
????????????? 二進制文件是一個OS/2控制臺界面二進制文件。(OS/2控制臺界面二進制文件是OS/2格式,因此此值在PE文件中很少使用。)
??????? IMAGE_SUBSYSTEM_POSIX_CUI (7)
????????????? 二進制文件使用POSIX?控制臺子系統。
???????
????????Windows 95的二進制文件總是使用Win32子系統,因此它的二進制文件的合法值只有2和3;我不知道windows 95的“原”二進制文件是否可能(會有其它值----譯者添加,僅供參考)。
????????????
?????3.? DllCharacteristics
????????? 如果是DLL文件,何時調用DLL文件的入口點(‘DllCharacteristics’,“DLL特性”)。此值似乎不用;很明顯地,DLL文件總是被通報所有的情況。
?????????如果位0被置1,DLL文件被通知進程附加(亦即DLL載入)。
?????????如果位1被置1,DLL文件被通知線程附加(亦即線程終止)。
?????????如果位2被置1,DLL文件被通知線程附加(亦即線程創建)。
?????????如果位3被置1,DLL文件被通知進程附加(亦即DLL卸載)。
???????? P: 不是很明白這里的意思。????????
?
???? 4. SizeOfStackReserve? 保留棧的大小
???? 5. SizeOfStackCommit?? 初始時指定棧大小
???? 6. SizeOfHeapReserve?? 保留堆的大小
???? 7. SizeOfHeapCommit??? 指定堆大小
?????
???? “保留的”數量是保留給特定目的的地址空間(不是真正的RAM);
??????在程序開始時,“指定的”數量是指在RAM中實際分配的大小。
????? 如果需要的話,“指定的”值也是指定的堆或棧用來增加的數量。(有資料說,不管“SizeOfStackCommit”的值是多少,棧都是按頁增加的。我沒有驗證過。)
????? 因此,舉例來說,如一個程序的保留堆有1 MB,指定堆為64 KB,那么啟動時堆的大小為64 KB,并且保證可以擴大到1 MB。
????? 堆將按64 KB一塊來增加。“堆”在本文中是指主要(缺省)堆。如果它愿意的話,一個進程可創建很多堆。
????? 棧是指第一個線程的棧(啟動main()的那個)。進程可以創建很多線程,每個線程都有自己的棧。
??????DLL文件沒有自己的堆或棧,所以它們的映象文件忽略這些值。我不知道驅動程序是否有它們自己的堆或棧,但我認為它們沒有。
?????8. ?LoaderFlags 設置為 0 , P: 作用未知
?
???? 9.
NumberOfRvaAndSizes?
??????? 它是緊隨其后的目錄的有效項的數目。我已發現此值不可靠;你也許希望用常量IMAGE_NUMBEROF_DIRECTORY_ENTRIES(映象文件目錄項數目)來代替它,或者用它們中的較小者。