PE 文件

一、PE文件基本结构

上图便是PE文件的基本结构。（注意：DOS MZ Header和部分PE header的大小是不变的；DOS stub部分的大小是可变的。）

二、Section 详解

一个PE文件至少需要两个Section,一个是存放代码，一个存放数据。NT上的PE文件基本上有9个预定义的Section。分别 是：.text, .bss, .rdata, .data, .rsrc, .edata, .idata, .pdata, 和 .debug。一些PE文件中只需要其中的一部分Section.以下是通常的分类：

执行代码Section , 通常命名为： .text (MS) or CODE (Borland)

数据Section, 通常命名为：.data, .rdata, 或 .bss(MS) 或 DATA(Borland).

资源Section, 通常命名为：.edata

输入数据Section, 通常命名为：.idata

调试信息Section，通常命名为：.debug

这些只是命名方式，便于识别。通常与系统并无直接关系。通常，一个PE文件在磁盘上的映像跟内存中的基本一致。但并不是完全的拷贝。Windows 加载器会决定加载哪些部分，哪些部分不需要加载。而且由于磁盘对齐与内存对齐的不一致，加载到内存的PE文件与磁盘上的PE文件各个部分的分布都会有差异。

PS：PE 文件中的数据按照磁盘数据标准存放，以 0x200 字节为基本单位来进行组织的，因此大家学习久了会发现 PE 数据节的大小永远是 0x200 的整数倍。

同样的，当指令代码装入内存后，将按照内存数据标准存放，以 0x1000 字节来进行组织的，因此，内存中的节就总是 0x1000 的整数倍。

三、Address 详解

1.文件偏移地址(FO)

文件偏移地址也叫物理地址，用十六进制工具（如 WINHex，C32asm 等）打开文件所显示的地址就是文件偏移地址。文件偏移地址从 PE 文件的第一个字节开始计数，起始值为 0。这是文件在磁盘上存放时相对文件开头的偏移。

2.虚拟内存地址 (VA)

PE 文件中的指令被装入内存后的地址。

3.镜像基址(IB)

PE 文件装入内存时的基地址。默认情况下，EXE 文件在内存中的基地址是 0x00400000，而DLL文件是 0x10000000。不过，这个地址程序员们是可以通过修改编译选项更改的。我这样讲，大家把ImageBase 当作是一个坐标原点。有了这个原点，那虚拟内存地址（VA）都是从这个原点起步的。

4.相对虚拟地址 (RVA)

既然镜像基址(Image Base)是原点，而虚拟内存地址是从原点开始“跑”的。那么虚拟内存地址相对镜像基址跑了多远就是“相对虚拟地址”了。也就是说VA = ImageBase + RVA。