PE文件格式详解（一）――基础知识.pdf

PE 文件格式详解（一）――基础知识 什么是 PE 文件格式： 我们知道所有文件都是一些连续（当然实际存储在磁盘上的时候 不一定是连续的）的数据组织起来的，不同类型的文件肯定组织形式 也各不相同；PE 文件格式便是一种文件组织形式，它是 32 位 Wind ow 系统中的可执行文件 EXE 以及动态连接库文件DLL 的组织形式。 为什么我们双击一个 EXE 文件之后它就会被 Window 运行，而我们 双击一个 DOC 文件就会被 Word 打开并显示其中的内容；这说明文 件中肯定除了存在那些文件的主体内容（比如 EXE 文件中的代码， 数据等，DOC 文件中的文件内容等）之外还存在其他一些重要的信 息。这些信息是给文件的使用者看的，比如说 EXE 文件的使用者就 是 Window ，而 DOC 文件的使用者就是 Word 。Window 可以根据这 些信息知道把文件加载到地址空间的那个位置，知道从哪个地址开始 执行；加载到内存后如何修正一些指令中的地址等等。那么 PE 文件 中的这些重要信息都是由谁加入的呢？是由编译器和连接器完成的， 针对不同的编译器和连接器通常会提供不同的选项让我们在编译和 联结生成 PE 文件的时候对其中的那些 Window 需要的信息进行设 定；当然也可以按照默认的方式编译连接生成 Window 中默认的信 息。例如：WindowNT 默认的程序加载基址是 0x40000；你可以在 用 VC 连接生成 EXE 文件的时候使用选项更改这个地址值。在不同 的操作系统中可执行文件的格式是不同的，比如在 Linux 上就有一种 流行的 ELF 格式；当然它是由在 Linux 上的编译器和连接器生成的， 所以编译器、连接器是针对不同的 CPU 架构和不同的操作系统而涉 及出来的。在嵌入式领域中我们经常提到交叉编译器一词，它的作用 就是在一种平台下编译出能在另一个平台下运行的程序；例如，我们 可以使用交叉编译器在跑 Linux 的X86 机器上编译出能在 Arm 上运 行的程序。 程序是如何运行起来的： 一个程序从编写出来到运行一共需要那些工具，他们都对程序作 了些什么呢？里面都涉及哪些知识需要学习呢？先说工具：编辑器 －》编译器－》连接器－》加载器；首先我们使用编辑器编辑源文件； 然后使用编译器编译程目标文件 OBJ，这里面涉及到编译原理的知 识；连接器把 OBJ 文件和其他一些库文件和资源文件连接起来生成 EXE 文件，这里面涉及到不同的连接器的知识，连接器根据 OS 的 需要生成 EXE 文件保存着磁盘上；当我们运行 EXE 文件的时候有 W indow 的加载器负责把 EXE 文件加载到线性地址空间，加载的时候 便是根据上一节中说到的 PE 文件格式中的哪些重要信息。然后生成 一个进程，如果进程中涉及到多个线程还要生成一个主线程；此后进 程便开始运行；这里面涉及的东西很多，包括：PE 文件格式的内容； 内存管理（CPU 内存管理的硬件环境以及在此基础上的OS 内存管 理方式）；模块，进程，线程的知识；只有把这些都弄清楚之后才能 比较清楚的了解这整个过程。下面就让我们先来学习 PE 文件格式吧。 PE 文件的总体结构： 下图便是 PE 文件的一个总体结构：注意，图 2 是在图 1 的基础 上进一步细化了，不过图 2 的顺序是从下向上代表文件的从头到尾的 顺序。 DOS MZ Header DOS stub PE header Section table Section 1 Section 2 Section ... Section n 图一