(注:最左边是文件头的偏移量。)

IMAGE_DOS_HEADER STRUCT

{

+0h	WORD	e_magic 	   //	Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记

+2h  	WORD 	e_cblp	   //	Bytes on last page of file

+4h	WORD 	e_cp 	   //	Pages in file

+6h	WORD 	e_crlc 	   //	Relocations

+8h	WORD 	e_cparhdr   //	Size of header in paragraphs

+0ah	WORD 	e_minalloc   //	Minimun extra paragraphs needs

+0ch	WORD 	e_maxalloc  //	Maximun extra paragraphs needs

+0eh	WORD 	e_ss            //	intial(relative)SS value        DOS代码的初始化堆栈SS

+10h	WORD 	e_sp 	    //	intial SP value                       DOS代码的初始化堆栈指针SP

+12h	WORD 	e_csum 	    //	Checksum

+14h	WORD 	e_ip 	    // intial IP value 		              DOS代码的初始化指令入口[指针IP]

+16h	WORD 	e_cs 	    //	intial(relative)CS value         DOS代码的初始堆栈入口

+18h	WORD 	e_lfarlc 	    //	File Address of relocation table

+1ah	WORD 	e_ovno         // Overlay number

+1ch	WORD 	e_res[4] 	     // Reserved words

+24h	WORD 	e_oemid 	     // OEM identifier(for e_oeminfo)

+26h	WORD    e_oeminfo   // OEM information;e_oemid specific

+29h	WORD 	e_res2[10]   // Reserved words

+3ch	DWORD   e_lfanew     //  Offset to start of PE header      指向PE文件头

} IMAGE_DOS_HEADER ENDS

IMAGE_NT_HEADERS STRUCT

{

+0h       DWORDSignature

+4h       IMAGE_FILE_HEADER FileHeader

+18h      IMAGE_OPTIONAL_HEADER32OptionalHeader

} IMAGE_NT_HEADERS ENDS

IMAGE_FILE_HEADER 结构

typedef 	struct _IMAGE_FILE_HEADER

{

+04h	WORD  		Machine;              // 运行平台

+06h  	WORD  		NumberOfSections;     // 文件的区块数目

+08h	DWORD 		TimeDateStamp;        // 文件创建日期和时间

+0Ch  	DWORD 		PointerToSymbolTable; // 指向符号表(主要用于调试)

+10h 	DWORD 		NumberOfSymbols;      // 符号表中符号个数(同上)

+14h  	WORD  		SizeOfOptionalHeader; // IMAGE_OPTIONAL_HEADER32 结构大小

+16h  	WORD  		Characteristics;      // 文件属性

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

typedef struct _IMAGE_OPTIONAL_HEADER

{

    //

    // Standard fields.

    //

+18h    WORD    Magic;                   // 标志字, ROM 映像(0107h),普通可执行文件(010Bh)

+1Ah    BYTE    MajorLinkerVersion;      // 链接程序的主版本号

+1Bh    BYTE    MinorLinkerVersion;      // 链接程序的次版本号

+1Ch    DWORD   SizeOfCode;              // 所有含代码的节的总大小

+20h    DWORD   SizeOfInitializedData;   // 所有含已初始化数据的节的总大小

+24h    DWORD   SizeOfUninitializedData; // 所有含未初始化数据的节的大小

+28h    DWORD   AddressOfEntryPoint;     // 程序执行入口RVA

+2Ch    DWORD   BaseOfCode;              // 代码的区块的起始RVA

+30h    DWORD   BaseOfData;              // 数据的区块的起始RVA

    //

    // NT additional fields.    以下是属于NT结构增加的领域。

    //

+34h    DWORD   ImageBase;               // 程序的首选装载地址

+38h    DWORD   SectionAlignment;        // 内存中的区块的对齐大小

+3Ch    DWORD   FileAlignment;           // 文件中的区块的对齐大小

+40h    WORD    MajorOperatingSystemVersion;  // 要求操作系统最低版本号的主版本号

+42h    WORD    MinorOperatingSystemVersion;  // 要求操作系统最低版本号的副版本号

+44h    WORD    MajorImageVersion;       // 可运行于操作系统的主版本号

+46h    WORD    MinorImageVersion;       // 可运行于操作系统的次版本号

+48h    WORD    MajorSubsystemVersion;   // 要求最低子系统版本的主版本号

+4Ah    WORD    MinorSubsystemVersion;   // 要求最低子系统版本的次版本号

+4Ch    DWORD   Win32VersionValue;       // 莫须有字段,不被病毒利用的话一般为0

+50h    DWORD   SizeOfImage;             // 映像装入内存后的总尺寸

+54h    DWORD   SizeOfHeaders;           // 所有头 + 区块表的尺寸大小

+58h    DWORD   CheckSum;                // 映像的校检和

+5Ch    WORD    Subsystem;               // 可执行文件期望的子系统

+5Eh    WORD    DllCharacteristics;      // DllMain()函数何时被调用,默认为 0

+60h    DWORD   SizeOfStackReserve;      // 初始化时的栈大小

+64h    DWORD   SizeOfStackCommit;       // 初始化时实际提交的栈大小

+68h    DWORD   SizeOfHeapReserve;       // 初始化时保留的堆大小

+6Ch    DWORD   SizeOfHeapCommit;        // 初始化时实际提交的堆大小

+70h    DWORD   LoaderFlags;             // 与调试有关,默认为 0

+74h    DWORD   NumberOfRvaAndSizes;     // 下边数据目录的项数,这个字段自Windows NT 发布以来一直是16

+78h    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];

// 数据目录表

} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

IMAGE_DATA_DIRECTORY STRUCT

      VirtualAddress    DWORD       ?   ; 数据的起始RVA

      isize             DWORD       ?   ; 数据块的长度

IMAGE_DATA_DIRECTORY ENDS

typedef struct _IMAGE_SECTION_HEADER

{

        BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节表名称,如“.text”

        //IMAGE_SIZEOF_SHORT_NAME=8

        union

         {

                DWORD PhysicalAddress;      // 物理地址

                DWORD VirtualSize;          // 真实长度,这两个值是一个联合结构,可以使用其中的任何一个,一般是取后一个

        } Misc;

        DWORD VirtualAddress;               // 节区的 RVA 地址

        DWORD SizeOfRawData;                // 在文件中对齐后的尺寸

        DWORD PointerToRawData;             // 在文件中的偏移量

        DWORD PointerToRelocations;         // 在OBJ文件中使用,重定位的偏移

        DWORD PointerToLinenumbers;         // 行号表的偏移(供调试使用地)

        WORD NumberOfRelocations;           // 在OBJ文件中使用,重定位项数目

        WORD NumberOfLinenumbers;           // 行号表中行号的数目

        DWORD Characteristics;              // 节属性如可读,可写,可执行等

} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

IMAGE_IMPORT_DESCRIPTOR STRUCT

    union

        Characteristics           DWORD   ?

        OriginalFirstThunk        DWORD   ?

    ends

    TimeDateStamp                 DWORD   ?

    ForwarderChain                DWORD   ?

    Name                          DWORD   ?

    FirstThunk                    DWORD   ?

IMAGE_IMPORT_DESCRIPTOR ENDS

IMAGE_THUNK_DATA STRUC

    union u1

    ForwarderString      DWORD  ?        ; 指向一个转向者字符串的RVA

    Function             DWORD  ?        ; 被输入的函数的内存地址

    Ordinal              DWORD  ?        ; 被输入的API 的序数值

    AddressOfData        DWORD  ?        ; 指向 IMAGE_IMPORT_BY_NAME

    ends

IMAGE_THUNK_DATA ENDS

IMAGE_IMPORT_BY_NAME STRUCT

    Hint      WORD      ?

    Name      BYTE      ?

IMAGE_IMPORT_BY_NAME ENDS

IMAGE_EXPORT_DIRECTORY STRUCT

	Characteristics		DWORD	?	; 未使用,总是定义为0

	TimeDateStamp		DWORD	?       ; 文件生成时间

	MajorVersion		WORD	?	; 未使用,总是定义为0

	MinorVersion		WORD	?	; 未使用,总是定义为0

	Name			DWORD	?	; 模块的真实名称

	Base		        DWORD	?	; 基数,加上序数就是函数地址数组的索引值

	NumberOfFunctions	DWORD	?	; 导出函数的总数

	NumberOfNames		DWORD	?	; 以名称方式导出的函数的总数

	AddressOfFunctions	DWORD	?	; 指向输出函数地址的RVA

	AddressOfNames		DWORD	?	; 指向输出函数名字的RVA

	AddressOfNameOrdinals	DWORD	?	; 指向输出函数序号的RVA

IMAGE_EXPORT_DIRECTORY ENDS

IMAGE_BASE_RELOCATION STRUC

 

    VirtualAddress      DWORD        ?  ; 重定位数据开始的RVA 地址

    SizeOfBlock         DWORD        ?  ; 重定位块得长度

    TypeOffset          WORD         ?  ; 重定项位数组

 

IMAGE_BASE_RELOCATION  ENDS






















 
 
 
 
 

PE文件结构详解的更多相关文章

  1. PE文件结构详解(六)重定位

    前面两篇 PE文件结构详解(四)PE导入表 和 PE文件结构详解(五)延迟导入表 介绍了PE文件中比较常用的两种导入方式,不知道大家有没有注意到,在调用导入函数时系统生成的代码是像下面这样的: 在这里 ...

  2. PE文件结构详解(五)延迟导入表

    PE文件结构详解(四)PE导入表讲 了一般的PE导入表,这次我们来看一下另外一种导入表:延迟导入(Delay Import).看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因 ...

  3. PE文件结构详解(四)PE导入表

    PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出表中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPO ...

  4. PE文件结构详解(三)PE导出表

    上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,D ...

  5. PE文件结构详解(二)可执行文件头

    在PE文件结构详解(一)基本概念里,解释了一些PE文件的一些基本概念,从这篇开始,将详细讲解PE文件中的重要结构. 了解一个文件的格式,最应该首先了解的就是这个文件的文件头的含义,因为几乎所有的文件格 ...

  6. PE文件结构详解(一)基本概念

    PE(Portable Execute) 文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任 何扩展名.那 ...

  7. PE文件结构详解(三)

    0x01 前言 上一篇讲到了数据目录表的结构和怎找到到数据目录表(DataDirectory[16]),这篇我们我来讲讲数据目录表后面的另一个结构——区块表. 0x01 区块 区块就是PE载入器将PE ...

  8. PE文件格式详解,第一讲,DOS头文件格式

    PE文件格式详解,第一讲,DOS头文件格式 今天讲解PE文件格式的DOS头文件格式 首先我们要理解,什么是文件格式,我们常说的EXE可执行程序,就是一个文件格式,那么我们要了解它里面到底存了什么内容 ...

  9. PE文件格式详解,第二讲,NT头文件格式,以及文件头格式

    PE文件格式详解,第二讲,NT头文件格式,以及文件头格式 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) PS:本篇博客 ...

随机推荐

  1. C++判断五位以内的对称素数

    题目内容:判断一个数是否为对称且不大于五位数的素数. 输入描述:输入数据含有不多于50个的正整数n(0<n<232). 输出描述:对于每个n,如果该数是不大于五位数的对称素数,则输出“Ye ...

  2. PHP取当前页面完整URL地址

    #测试网址: http://localhost/blog/testurl.php?id=5 //获取域名或主机地址 echo $_SERVER['HTTP_HOST']."<br> ...

  3. Oracle 分区表的统计信息实例

    ORACLE的统计信息在执行SQL的过程中扮演着非常重要的作用,而且ORACLE在表的各个层次都会有不同的统计信息,通过这些统计信息来描述表的,列的各种各样的统计信息.下面通过一个复合分区表来说明一些 ...

  4. 第五节:AppDomain FirstChance异常通知

    每个AppDomain都可关联一组回调方法:CLR开始查找AppDomain中的catch块时,这些回调方法就会得到调用.这些方法可执行日志记录操作.除此之外,宿主可利用这个机制监视AppDomain ...

  5. 第二章 管理程序流(In .net4.5) 之 管理多线程

    1. 概述 本章包括同步资源以及取消长时间任务相关的内容. 2. 主要内容 2.1 同步资源 ① lock关键字实现.会阻塞程序,有可能会导致死锁. ② volatile关键字可以禁用编译优化,用于避 ...

  6. 浅析python的string.Template

    摘自:python参考手册. string模块定义了一种新字符串类型Template,简化了特定的字符串置换操作, Template定义一个类 1.template(s),  #s是字符串 s='he ...

  7. Oracle Study Note : Tablespace and Data Files

    1.how to create a tablespace that employs the most common features create tablespace tb_name #create ...

  8. memcached 简介

    最近,想看看开源的东西,正好在网上看到了memcached这个服务器,就简单学了学.做个笔记! 1.memcached 介绍 memcached我原本以为是一款数据库软件,但详细了解才发现,准确的是一 ...

  9. 关于ios极光推送server端注意的地方

    今天试用了极光推送API 用它是因为,大多数人说它的文档是最全的,但是用过之后,发现关于IOS的文档,还是很不够,导致走了一点弯路! 特别是服务端的代码:https://github.com/jpus ...

  10. SQL Server数据库学习笔记-设计表时应该考虑的因素

    设计数据库其实就是设计数据库中的表.到底要注意些什么才能够设计好一个数据库呢?一个宗旨,8个建议. 一个宗旨“尽量少的表,每个表中尽量少的列,合理的表结构”. 8个建议: 第一个,首先要考虑的是咱们这 ...