(注:最左边是文件头的偏移量。)

IMAGE_DOS_HEADER STRUCT

{

+0h	WORD	e_magic 	   //	Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记

+2h  	WORD 	e_cblp	   //	Bytes on last page of file

+4h	WORD 	e_cp 	   //	Pages in file

+6h	WORD 	e_crlc 	   //	Relocations

+8h	WORD 	e_cparhdr   //	Size of header in paragraphs

+0ah	WORD 	e_minalloc   //	Minimun extra paragraphs needs

+0ch	WORD 	e_maxalloc  //	Maximun extra paragraphs needs

+0eh	WORD 	e_ss            //	intial(relative)SS value        DOS代码的初始化堆栈SS

+10h	WORD 	e_sp 	    //	intial SP value                       DOS代码的初始化堆栈指针SP

+12h	WORD 	e_csum 	    //	Checksum

+14h	WORD 	e_ip 	    // intial IP value 		              DOS代码的初始化指令入口[指针IP]

+16h	WORD 	e_cs 	    //	intial(relative)CS value         DOS代码的初始堆栈入口

+18h	WORD 	e_lfarlc 	    //	File Address of relocation table

+1ah	WORD 	e_ovno         // Overlay number

+1ch	WORD 	e_res[4] 	     // Reserved words

+24h	WORD 	e_oemid 	     // OEM identifier(for e_oeminfo)

+26h	WORD    e_oeminfo   // OEM information;e_oemid specific

+29h	WORD 	e_res2[10]   // Reserved words

+3ch	DWORD   e_lfanew     //  Offset to start of PE header      指向PE文件头

} IMAGE_DOS_HEADER ENDS

IMAGE_NT_HEADERS STRUCT

{

+0h       DWORDSignature

+4h       IMAGE_FILE_HEADER FileHeader

+18h      IMAGE_OPTIONAL_HEADER32OptionalHeader

} IMAGE_NT_HEADERS ENDS

IMAGE_FILE_HEADER 结构

typedef 	struct _IMAGE_FILE_HEADER

{

+04h	WORD  		Machine;              // 运行平台

+06h  	WORD  		NumberOfSections;     // 文件的区块数目

+08h	DWORD 		TimeDateStamp;        // 文件创建日期和时间

+0Ch  	DWORD 		PointerToSymbolTable; // 指向符号表(主要用于调试)

+10h 	DWORD 		NumberOfSymbols;      // 符号表中符号个数(同上)

+14h  	WORD  		SizeOfOptionalHeader; // IMAGE_OPTIONAL_HEADER32 结构大小

+16h  	WORD  		Characteristics;      // 文件属性

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

typedef struct _IMAGE_OPTIONAL_HEADER

{

    //

    // Standard fields.

    //

+18h    WORD    Magic;                   // 标志字, ROM 映像(0107h),普通可执行文件(010Bh)

+1Ah    BYTE    MajorLinkerVersion;      // 链接程序的主版本号

+1Bh    BYTE    MinorLinkerVersion;      // 链接程序的次版本号

+1Ch    DWORD   SizeOfCode;              // 所有含代码的节的总大小

+20h    DWORD   SizeOfInitializedData;   // 所有含已初始化数据的节的总大小

+24h    DWORD   SizeOfUninitializedData; // 所有含未初始化数据的节的大小

+28h    DWORD   AddressOfEntryPoint;     // 程序执行入口RVA

+2Ch    DWORD   BaseOfCode;              // 代码的区块的起始RVA

+30h    DWORD   BaseOfData;              // 数据的区块的起始RVA

    //

    // NT additional fields.    以下是属于NT结构增加的领域。

    //

+34h    DWORD   ImageBase;               // 程序的首选装载地址

+38h    DWORD   SectionAlignment;        // 内存中的区块的对齐大小

+3Ch    DWORD   FileAlignment;           // 文件中的区块的对齐大小

+40h    WORD    MajorOperatingSystemVersion;  // 要求操作系统最低版本号的主版本号

+42h    WORD    MinorOperatingSystemVersion;  // 要求操作系统最低版本号的副版本号

+44h    WORD    MajorImageVersion;       // 可运行于操作系统的主版本号

+46h    WORD    MinorImageVersion;       // 可运行于操作系统的次版本号

+48h    WORD    MajorSubsystemVersion;   // 要求最低子系统版本的主版本号

+4Ah    WORD    MinorSubsystemVersion;   // 要求最低子系统版本的次版本号

+4Ch    DWORD   Win32VersionValue;       // 莫须有字段,不被病毒利用的话一般为0

+50h    DWORD   SizeOfImage;             // 映像装入内存后的总尺寸

+54h    DWORD   SizeOfHeaders;           // 所有头 + 区块表的尺寸大小

+58h    DWORD   CheckSum;                // 映像的校检和

+5Ch    WORD    Subsystem;               // 可执行文件期望的子系统

+5Eh    WORD    DllCharacteristics;      // DllMain()函数何时被调用,默认为 0

+60h    DWORD   SizeOfStackReserve;      // 初始化时的栈大小

+64h    DWORD   SizeOfStackCommit;       // 初始化时实际提交的栈大小

+68h    DWORD   SizeOfHeapReserve;       // 初始化时保留的堆大小

+6Ch    DWORD   SizeOfHeapCommit;        // 初始化时实际提交的堆大小

+70h    DWORD   LoaderFlags;             // 与调试有关,默认为 0

+74h    DWORD   NumberOfRvaAndSizes;     // 下边数据目录的项数,这个字段自Windows NT 发布以来一直是16

+78h    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];

// 数据目录表

} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

IMAGE_DATA_DIRECTORY STRUCT

      VirtualAddress    DWORD       ?   ; 数据的起始RVA

      isize             DWORD       ?   ; 数据块的长度

IMAGE_DATA_DIRECTORY ENDS

typedef struct _IMAGE_SECTION_HEADER

{

        BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节表名称,如“.text”

        //IMAGE_SIZEOF_SHORT_NAME=8

        union

         {

                DWORD PhysicalAddress;      // 物理地址

                DWORD VirtualSize;          // 真实长度,这两个值是一个联合结构,可以使用其中的任何一个,一般是取后一个

        } Misc;

        DWORD VirtualAddress;               // 节区的 RVA 地址

        DWORD SizeOfRawData;                // 在文件中对齐后的尺寸

        DWORD PointerToRawData;             // 在文件中的偏移量

        DWORD PointerToRelocations;         // 在OBJ文件中使用,重定位的偏移

        DWORD PointerToLinenumbers;         // 行号表的偏移(供调试使用地)

        WORD NumberOfRelocations;           // 在OBJ文件中使用,重定位项数目

        WORD NumberOfLinenumbers;           // 行号表中行号的数目

        DWORD Characteristics;              // 节属性如可读,可写,可执行等

} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

IMAGE_IMPORT_DESCRIPTOR STRUCT

    union

        Characteristics           DWORD   ?

        OriginalFirstThunk        DWORD   ?

    ends

    TimeDateStamp                 DWORD   ?

    ForwarderChain                DWORD   ?

    Name                          DWORD   ?

    FirstThunk                    DWORD   ?

IMAGE_IMPORT_DESCRIPTOR ENDS

IMAGE_THUNK_DATA STRUC

    union u1

    ForwarderString      DWORD  ?        ; 指向一个转向者字符串的RVA

    Function             DWORD  ?        ; 被输入的函数的内存地址

    Ordinal              DWORD  ?        ; 被输入的API 的序数值

    AddressOfData        DWORD  ?        ; 指向 IMAGE_IMPORT_BY_NAME

    ends

IMAGE_THUNK_DATA ENDS

IMAGE_IMPORT_BY_NAME STRUCT

    Hint      WORD      ?

    Name      BYTE      ?

IMAGE_IMPORT_BY_NAME ENDS

IMAGE_EXPORT_DIRECTORY STRUCT

	Characteristics		DWORD	?	; 未使用,总是定义为0

	TimeDateStamp		DWORD	?       ; 文件生成时间

	MajorVersion		WORD	?	; 未使用,总是定义为0

	MinorVersion		WORD	?	; 未使用,总是定义为0

	Name			DWORD	?	; 模块的真实名称

	Base		        DWORD	?	; 基数,加上序数就是函数地址数组的索引值

	NumberOfFunctions	DWORD	?	; 导出函数的总数

	NumberOfNames		DWORD	?	; 以名称方式导出的函数的总数

	AddressOfFunctions	DWORD	?	; 指向输出函数地址的RVA

	AddressOfNames		DWORD	?	; 指向输出函数名字的RVA

	AddressOfNameOrdinals	DWORD	?	; 指向输出函数序号的RVA

IMAGE_EXPORT_DIRECTORY ENDS

IMAGE_BASE_RELOCATION STRUC

 

    VirtualAddress      DWORD        ?  ; 重定位数据开始的RVA 地址

    SizeOfBlock         DWORD        ?  ; 重定位块得长度

    TypeOffset          WORD         ?  ; 重定项位数组

 

IMAGE_BASE_RELOCATION  ENDS






















 
 
 
 
 

PE文件结构详解的更多相关文章

  1. PE文件结构详解(六)重定位

    前面两篇 PE文件结构详解(四)PE导入表 和 PE文件结构详解(五)延迟导入表 介绍了PE文件中比较常用的两种导入方式,不知道大家有没有注意到,在调用导入函数时系统生成的代码是像下面这样的: 在这里 ...

  2. PE文件结构详解(五)延迟导入表

    PE文件结构详解(四)PE导入表讲 了一般的PE导入表,这次我们来看一下另外一种导入表:延迟导入(Delay Import).看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因 ...

  3. PE文件结构详解(四)PE导入表

    PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出表中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPO ...

  4. PE文件结构详解(三)PE导出表

    上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,D ...

  5. PE文件结构详解(二)可执行文件头

    在PE文件结构详解(一)基本概念里,解释了一些PE文件的一些基本概念,从这篇开始,将详细讲解PE文件中的重要结构. 了解一个文件的格式,最应该首先了解的就是这个文件的文件头的含义,因为几乎所有的文件格 ...

  6. PE文件结构详解(一)基本概念

    PE(Portable Execute) 文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任 何扩展名.那 ...

  7. PE文件结构详解(三)

    0x01 前言 上一篇讲到了数据目录表的结构和怎找到到数据目录表(DataDirectory[16]),这篇我们我来讲讲数据目录表后面的另一个结构——区块表. 0x01 区块 区块就是PE载入器将PE ...

  8. PE文件格式详解,第一讲,DOS头文件格式

    PE文件格式详解,第一讲,DOS头文件格式 今天讲解PE文件格式的DOS头文件格式 首先我们要理解,什么是文件格式,我们常说的EXE可执行程序,就是一个文件格式,那么我们要了解它里面到底存了什么内容 ...

  9. PE文件格式详解,第二讲,NT头文件格式,以及文件头格式

    PE文件格式详解,第二讲,NT头文件格式,以及文件头格式 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) PS:本篇博客 ...

随机推荐

  1. mysql中存不进去json_encode格式的数据

    主要是因为json_encode格式的数据,中间带有\,在存入数据库的时候,会把反斜杠删除了. 所以,想要存进去的话,需要在外层调用一下函数addslashes();这个函数会在每个反斜杠的前面添加反 ...

  2. Android———从GitHub上下载源码的方法【Written By KillerLegend】

    首先声明,本文说的是从GitHub上下载源码而非上传源码! 1:下载tortoisegit,下载地址为: https://code.google.com/p/tortoisegit/wiki/Down ...

  3. C#高级功能(四)扩展方法和索引

    扩展方法使你能够向现有类型“添加”方法,而无需创建新的派生类型.重新编译或以其他方式修改原始类型. 扩展方法是一种特殊的静态方法,但可以像扩展类型上的实例方法一样进行调用.扩展方法被定义为静态方法,但 ...

  4. ARM中MMU地址转换理解

    首先,我们要分清ARM CPU上的三个地址:虚拟地址(VA,Virtual Address).变换后的虚拟地址(MVA,Modified Virtual Address).物理地址(PA,Physic ...

  5. 【标题】一本帮你提高Excel办公效率的VBA书

    公司工程部男同事,EXCEL能力最强的前三位,分别号称:大表哥 二表哥 三表哥 公司财务部女同事,EXCEL能力最强的前三位,分别号称:大表姐 二表姐 三表姐 想成为你们公司的“表哥”.“表姐”? 但 ...

  6. Python 网页投票信息抓取

    最近学习python,为了巩固一下学过的知识,花了半天(主要还是因为自己正则表达式不熟)写了个小脚本来抓取一个网站上的投票信息,排名后进行输出. 抓取的网站网址是http://www.mudidi.n ...

  7. C# 页面抓取获取快递信息

    通过页面抓取信息可以获得很多我们想要的信息,比如现在常会用到的快递查询,主要抓取的网站为http://www.kuaidi100.com/ 通过IE的网络分析我们可以得到下面信息 通过对这个网站的分析 ...

  8. .Net码农学Android---小点整理

    小点整理 虽然两大语言的编程思想相同,语法也相似,但具体到使用时,还是有些别扭,可能还是不太熟悉,现就自己遇到的一些微小问题整理如下: String/Int转换 C#:String--->Int ...

  9. ode.js 版本控制 nvm 和 n 使用 及 nvm 重启终端失效的解决方法

    今天的话题包括2个部分 node.js 下使用 nvm 或者 n 来进行版本控制 nvm 安装node.js 版本后,重启终端 node , npm 环境变量失效 第一部分 用什么来管理 node.j ...

  10. Xcode真机调试错误之"Please valify your...clock not set"

    乍一看错误信息是证书过期,其实是描述证书错乱了. Xcode->Preferences->Account  将选中其中一个描述文件 show in finder,将里面的全都删除.