PE (Portable Execute )文件是 Windows 下可执行文件的总称,常见的有 DLL ,EXE ,OCX ,SYS 等,事
实上,一个文件是否是 PE 文件与其扩展名无关, PE 文件可以是任何扩展名。那 Windows 是怎么区分可执行
文件和非可执行文件的呢?我们调用 LoadLibrary 传递了一个文件名,系统是如何判断这个文件是一个合法
的动态库呢?这就涉及到 PE文件结构了。
PE 文件的结构一般来说如下图所示:从起始位置开始依次是 DOS 头, NT头,节表以及具体的节。
DOS 头是用来兼容 MS-DOS 操作系统的,目的是当这个文件在 MS-DOS 上运行时提示一段文字,大部分情
况下是: This program cannot be run in DOS mode. 还有一个目的,就是指明 NT头在文件中的位置。
NT头包含 windows PE 文件的主要信息,其中包括一个 ‘PE’字样的签名, PE 文件头
(IMAGE_FILE_HEADER )和 PE 可选头( IMAGE_OPTIONAL_HEADER32 ),头部的详细结构以及其具
体意义在 PE文件头文章中详细描述。
节表:是 PE文件后续节的描述, windows 根据节表的描述加载每个节。
节:每个节实际上是一个容器,可以包含代码、数据等等,每个节可以有独立的内存权限,比如代码节默
认有读 /执行权限,节的名字和数量可以自己定义,未必是上图中的三个。
当一个 PE 文件被加载到内存中以后,我们称之为 “映象 ”(image ),一般来说, PE文件在硬盘上和在内存
里是不完全一样的,被加载到内存以后其占用的虚拟地址空间要比在硬盘上占用的空间大一些,这是因为
各个节在硬盘上是连续的,而在内存中是按页对齐的,所以加载到内存以后节之间会出现一些 “空洞 ”。
因为存在这种对齐,所以在 PE结构内部,表示某个位置的地址采用了两种方式,针对在硬盘上存储文件中
的地址,称为原始存储地址或物理地址表示距离文件头的偏移;另外一种是针对加载到内存以后映象中的
地址,称为相对虚拟地址( RVA),表示相对内存映象头的偏移。
第1页 共13页
剩余12页未读,继续阅读
评论0