PE檔案框架構成:
DOS MZ header
DOS stub
PE header
Section table
Section 1
Section 2
Section ...
Section n
上表是PE檔案結構的總體層次分布。所有 PE檔案(甚至32位的 DLLs) 必須以一個簡單的 DOS MZ header 開始,在偏移0處有DOS下執行檔的“MZ標誌”,有了它,一旦程式在DOS下執行,DOS就能識別出這是有效的執行體,然後運行緊隨 MZ header 之後的 DOS stub。DOS stub實際上是個有效的EXE,在不支持 PE檔案格式的作業系統中,它將簡單顯示一個錯誤提示,類似於字元串 " This program cannot run in DOS mode " 或者程式設計師可根據自己的意圖實現完整的 DOS代碼。通常DOS stub由彙編器/編譯器自動生成,對我們的用處不是很大,它簡單調用中斷21h服務9來顯示字元串"This program cannot run in DOS mode"。
緊接著 DOS stub 的是 PE header。 PE header 是PE相關結構 IMAGE_NT_HEADERS 的簡稱,其中包含了許多PE裝載器用到的重要域。執行檔在支持PE檔案結構的作業系統中執行時,PE裝載器將從 DOS MZ header的偏移3CH處找到 PE header 的起始偏移量。因而跳過了 DOS stub 直接定位到真正的檔案頭 PE header。
PE檔案的真正內容劃分成塊,稱之為sections(節)。每節是一塊擁有共同屬性的數據,比如“.text”節等,那么,每一節的內容都是什麼呢?實際上PE格式的檔案把具有相同屬性的內容放入同一個節中,而不必關心類似“.text”、“.data”的命名,其命名只是為了便於識別,所以,我們如果對PE格式的檔案進行修改,理論上講可以寫入任何一個節內,並調整此節的屬性就可以了。
PE header 接下來的數組結構 section table(節表)。 每個結構包含對應節的屬性、檔案偏移量、虛擬偏移量等。如果PE檔案里有5個節,那么此結構數組內就有5個成員。
以上就是PE檔案格式的物理分布,下面將總結一下裝載一PE檔案的主要步驟:
2、PE裝載器檢查 DOS MZ header 里的 PE header 偏移量。如果找到,則跳轉到 PE header。
3、PE裝載器檢查 PE header 的有效性。如果有效,就跳轉到PE header的尾部。
4、緊跟 PE header 的是節表。PE裝載器讀取其中的節信息,並採用檔案映射方法將這些節映射到記憶體,同時付上節表里指定的節屬性。
5、PE檔案映射入記憶體後,PE裝載器將處理PE檔案中類似 import table(引入表)邏輯部分。
