小甲鱼的PE结构网页内容整理.doc

PE格式详细讲解2?-?系统篇02 ? PE Header 是PE相关结构NT映像头（IMAGE_NT_HEADER）的简称，里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~ ? 首先是IMAGE_NT_HEADERS 结构的定义：（啥？结构不会，先看看小甲鱼童鞋的《零基础入门学习C语言》关于结构方面的章节吧~） IMAGE_NT_HEADERS STRUCT { +0h DWORD Signature +4h IMAGE_FILE_HEADER FileHeader +18h IMAGE_OPTIONAL_HEADER32OptionalHeader } IMAGE_NT_HEADERS ENDS ? Signature字段： ? 在一个有效的 PE 文件里，Signature 字段被设置, ASCII 码字符是“PE00”。标志这 PE 文件头的开始。 “PE00” 字符串是 PE 文件头的开始，DOS 头部的 e_lfanew 字段正是指向这里。 ? 如下图所示： ? IMAGE_FILE_HEADER 结构 IMAGE_FILE_HEADER 结构 typedef struct _IMAGE_FILE_HEADER { +04h WORD Machine; // 运行平台 +06h WORD NumberOfSections; // 文件的区块数目 +08h DWORD TimeDateStamp; // 文件创建日期和时间 +0Ch DWORD PointerToSymbolTable; // 指向符号表(主要用于调试) +10h DWORD NumberOfSymbols; // 符号表中符号个数(同上) +14h WORD SizeOfOptionalHeader; // IMAGE_OPTIONAL_HEADER32 结构大小 +16h WORD Characteristics; // 文件属性 } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;下边，小甲鱼童鞋为大家详细解释各个成员的含义和用法： （1）Machine：可执行文件的目标CPU类型。 Value Meaning IMAGE_FILE_MACHINE_I386 ? ? ? ? ? ? ? ? ? ?? 0x014c ?? x86 IMAGE_FILE_MACHINE_IA64 ? 0×0200 Intel Itanium IMAGE_FILE_MACHINE_AMD64 0×8664 x64 ? （2）NumberOfSection: 区块的数目。（注：区块表是紧跟在 IMAGE_NT_HEADERS 后边的） （3）TimeDataStamp: 表明文件是何时被创建的。 这个值是自1970年1月1日以来用格林威治时间（GMT）计算的秒数，这个值是比文件系统（FILESYSTEM）的日期时间更加精确的指示器。如何将这个值翻译请看：传送门 提示：VC的话可以用_ctime 函数或者 gmtime 函数。 （4）PointerToSymbolTable: COFF 符号表的文件偏移位置，现在基本没用了。 （5）NumberOfSymbols: 如果有COFF 符号表，它代表其中的符号数目，COFF符号是一个大小固定的结构，如果想找到COFF 符号表的结束位置，则需要这个变量。 （6）SizeOfOptionalHeader: 紧跟着IMAGE_FILE_HEADER 后边的数据结构（IMAGE_OPTIONAL_HEADER）的大小。(对于32位PE文件，这个值通常是00E0h；对于64位PE32+文件，这个值是00F0h )。 （7）Characteristics: 文件属性，有选择的通过几个值可以运算得到。( 这些标志的有效值是定义于 winnt.h 内的 IMAGE_FILE_** 的值，具体含义见下表。 普通的EXE文件这个字段的值一般是 0100h，DLL文件这个字段的值一般是 210Eh。)小甲鱼温馨提示：多种属性可以通过 “或运算” 使得同时拥有！ ? The characteristics of the image. This member can be one or more of the following values. （图像的特征。这个成员可以是下列一个或多个值。） Value Meaning IMAGE_FILE_RELOCS_STRIPPED ?? 0×0001 Rel