《加密解密 技术内幕》1.30 JIURL PE 格式学习总结(一)--PE文件概述(图)

    PE格式，是Windows的可执行文件的格式。Windows中的 exe文件，dll文件，都是PE格式。PE 就是Portable Executable 的缩写。Portable 是指对于不同的Windows版本和不同的CPU类型上PE文件的格式是一样的，当然CPU不一样了，CPU指令的二进制编码是不一样的。只是文件中各种东西的布局是一样的。

图 1.1

    图1.1是 JIURL PEDUMP 打开 Win2K 中的 explorer.exe 的截图。JIURL PEDUMP 是我写的一个小工具，从文件开始的 Dos Header 一直到 Section Table，打开PE文件之后，点击相应结构，就会高亮显示文件中相应的部分。不过没有Sections。对了解 PE 格式有所帮助,可以很好的配合后面的介绍。可以到我的主页 http://jiurl.yeah.net/ 上下载。

一   PE文件格式概述

PE文件结构的总体层次分布如下所示

 --------------
|DOS MZ Header |
|--------------|
|DOS Stub      |
|--------------|
|PE Header     |
|--------------|
|Section Table |
|--------------|
|Section 1     |
|--------------|
|Section 2     |
|--------------|
|Section ...   |
|--------------|
|Section n     |
 --------------

1.1 DOS Header

    PE文件最开始是一个简单的 DOS MZ header，它是一个 IMAGE_DOS_HEADER 结构。有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体，然后运行紧随 MZ Header 之后的 DOS Stub。

 1.2  DOS Stub   

    DOS Stub 是一个有效的 DOS 程序。当程序在DOS下运时，输出象 "This program cannot be run in DOS mode" 这样的提示。在 图1.1中就可以看到字符串 "This program cannot be run in DOS mode"。这是编译器生成的默认stub程序。你也可以通过链接选项 /STUB:filename 指定任何有效的MS-DOS可执行文件来替换它。

1.3 PE Header

    紧接着 DOS Stub 的是 PE Header。它是一个 IMAGE_NT_HEADERS 结构。其中包含了很多PE文件被载入内存时需要用到的重要域。执行体在支持PE文件结构的操作系统中执行时，PE装载器将从 DOS MZ header 中找到 PE header 的起始偏移量。因而跳过了 DOS stub 直接定位到真正的文件头 PE header。

1.4 Section Table

    PE Header 接下来的数组结构 Section Table (节表)。如果PE文件里有5个节，那么此 Section Table 结构数组内就有5个成员，每个成员包含对应节的属性、文件偏移量、虚拟偏移量等。图1中的节表有4个成员。

1.5 Sections

    PE文件的真正内容划分成块，称之为sections（节）。Sections 是以其起始位址来排列，而不是以其字母次序来排列。通过节表提供的信息，我们可以找到这些节。图1.1所示的 explorer.exe 中有4个节。程序的代码，资源等等就放在这些节中。

二  PE文件格式中的结构及其作用

这部分内容请参考下面的几篇文章，使用工具 JIURL PEDUMP 有助于快速了解。
大家不要因此，而失望不看，本文重点在后三篇，本篇只是为了有个交代，和介绍些相关内容。
注意，在WINNT.H中，有所有PE相关结构的定义。我们用到的结构定义都来自那里。

Microsoft Portable Executable and Common Object File Format Specification
MSDN 

《Windows95系统程式设计大奥秘》
第8章 PE 与COFF OBJ 档案格式
Matt Pietrek 著 侯杰译

Iczelion的PE教程

PE学习笔记（一） rivershan
PE学习笔记（二） rivershan

Inside Windows 
An In-Depth Look into the Win32 Portable Executable File Format 
Matt Pietrek 
已经被人翻译了。

Inside Windows 
An In-Depth Look into the Win32 Portable Executable File Format 
Matt Pietrek

三 几个要注意的问题

3.1 文件中大量的空白

    在 PE Header结构 中的 OptionalHeader 结构中的成员 FileAlignment 的值是文件中节的对齐粒度，单位是字节，这个值应该是2的n次方，范围从512到64k。如果这里的值是512,那么PE文件中的节的长度都是512字节的整数倍，内容不够的部分用0填充。比如一个PE文件的 FileAlignment 为200h(十进制512),它的第一个节在400h处，长度为100h，那么从文件400h到500h中为这一节的内容，而文件对齐粒度是200h，所以为了使这一节长度为FileAlignment的整数倍，500h到600h会被用零填充。而下一个节的开始地址为600h。用16进制编辑器打开PE文件，就可以看到这种情况，PE文件头的内容结束到第一个节开始之间的地方，每一个节中内容结束到下一节开始的地方都会有大量的空白。VC6编译链接时默认的FileAlignment为1000h（4k)，可以使用链接选项 /ALIGN:number 来改变这个值。比如把4k改成512时，可以明显减小生成文件的大小。

3.2 big-endian和little-endian

    PE Header中的 FileHeader 的成员 Machine 中的值，根据WINNT.H中的定义，对于 Intel CPU 应该为 0x014c。但是你用16进制编辑器打开PE文件，看到这个WORD显示的却是 4c 01 。你看到的并没有错，你看到的 4c 01 就是 0x014c，只不过由于 intel cpu 是ittle-endian，所以显示出来是这样的。对于 big-endian 和 little-endian，请看下面的例子。