PE文件头解析大全

翻译：Jason Sun（木水鱼）.2004年5月10日[译注：仅供大家学习使用,您在复制或使用此文档时请保留这个文件头]Peering Inside the PE: A Tour of the Win32 Portable Executable File FormatMatt Pietrek1994 年3月Matt Pietrek 是Windows Internals (Addison-Wesley, 1993)的作者。

他就职于Nu-Mega 技术有限公司，可通过CompuServe: 71774,362联系到他。

这篇文章出自1994年3月发行的Microsoft系统期刊。

版权所有﹫1994 Miller Freeman, Inc.保留所有权利。

未经Miller Freeman同意，这篇文章的任何部分不得以任何形式被复制（除了在评论文章里以摘要引用）。

一个操作系统的可执行文件的格式在很多方面是这个操作系统的一面镜子。

虽然学习一个可执行文件格式不是大多数程序员的首要任务，但是从中你可学到大量的知识。

这篇文章中，我将给出Microsoft为他们的基于Win32的系统所设计的PE文件格式的详细说明。

可以预知在未来，PE文件格式在Microsoft的所有操作系统包括Windows 2000中都将扮演着很重要的角色。

如果你在使用Win32s或WinNT，那么你已经在使用PE文件了。

甚至你只是在Windows3.1下用Visual C++编程，你也已在使用PE文件了（Visual C++的32位DOS扩展组件使用此格式）。

简而言之，PE格式已得到普遍应用并且在不短的将来也不会取消。

现在是时间找出这种新的可执行文件格式为操作系统所带来的影响了。

我不会让你盯住无穷无尽的16进制Dumps和详细讨论页面中每个单独位的重要性。

代替的，我将介绍PE文件格式中内含的概念并且把它们和你每天都会遇到的东西联系起来。

例如，线程局部变量的概念，比如declspec(thread) int i;它使我快要发疯了，直到我明白它是怎样在可执行文件里优雅而简单的实现的。

这是我在我的电脑上随便找了个exe文件，下面我将会仔细的分析一下这种文件的格式下面我依次截图，仔细分析，让你看清楚：首先4D 5A 90 这三个一般是在一起的，我们知道windows文件是从DOS兼容过来的，这三个数其实就是M Z 和一个分隔符是为了兼容以前DOS下的MZ文件好：我找了两个文件通过比较发现，从0x 00 00 00 80处开始不一样，也就是在这之前从0x 00 00 00 00到0x00 00 00 7F是相同的DOS头和DOS桩程序，其实，MZ_DOS在PE 文件中占64个字节，就是我们看到的前4行数据(每行16个字节)，而在微软给我们提供的DOS头结构体中有各个部分的结构：Typedef struct _IMAGE_DOS_HEADER{USHORT e_magic; //00H魔术数字就是0x 4D 5A = MZ;USHORT e_cblp; // 02H 表示的是文件最后页(page)中的字节数;USHORT e_cb ; / 04H 文件的页数(每页大小4KB);USHORT e_crlc ; //06H重新定向的元素个数;USHORT e_parhdr //08H 头部大小，以段(paragraph)为单位;USHORT e_minalloc //0AH 所需要的最小附加段;USHORT e_maxalloc //0CH 所需要的最大附加段;USHORT e_ss //0EH 初始的ss值;USHORT e_sp //10H 初始的sp值;USHORT e_csum //12H 校验和或者0USHORT e_ip //14H 初始的IP值USHORT e_cs //16H 初始的CS值(相对偏移量)USHORT e_lfarlc //18H 重定向表文件地址USHORT e_ovno //1AH 覆盖号USHORT e_res[4] 1CH 保留字USHORT e_oemid //24H OEM标示符(for e_oeminfo)USHORT e_oeminfo //26H OEM信息USHORT e_res2[10] //28H 保留LONG e_lfanew; //3CH PE头位置//这个位置很重要,做病毒要这个东西} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER上边就是我的一个exe文件的DOS头(不包括DOS桩,紧跟在它的下面),下面是我的分析0x4D 5A 魔术字符MZ0x00 90(144字节) 文件最后一页的字节数地址为20x00 03 文件总页数用这两个计算出文件总大小(3-1)*4028+144=82000x00 00 重定向元素个数0x00 04 头部大小,以段为单位0x00 00 所需要的最小附加段0xFF FF 所需要的最大附加段0x00 00 加载时ss段寄存器的值0x00 B8 加载时sp的值0x00 00 校验和或者为00x00 00 初始IP值0x00 00 初始CS值0x00 40 重定位表文件地址0x00 00 覆盖号0x0000 0000 0000 0000保留的四个字0x00 00 OEM标识0x00 00 OEM信息0x0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 保留10个字0x00 00 00 D0 PE头开始的地址地址为3C上边指需要记住两处，但是别的地方最好是也记住。

PE⽂件解析-PE头解析-1-⽂件头，PE头PE⽂件解析-PE头解析PE头⼜叫NT头，是PE⽂件真正的头部，DOS头只是⽤来为了兼容以前的DOS系统。

PE头位于DOS Stub后⾯，以PE00作为起始标记类似于DOS头的MZDOS StubDOS Stub就是DOS头结束到PE头的开始中间的区域，基本上是垃圾区域没啥⽤，但是加壳的时候可以⽤到。

NT/PE头typedef struct _IMAGE_NT_HEADERS {DWORD Signature;//PE标志，就是PE00IMAGE_FILE_HEADER FileHeader;//⽂件头，是另⼀个⽂件的结构体IMAGE_OPTIONAL_HEADER32 OptionalHeader;//可选PE头，也叫扩展头} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;⽂件头typedef struct _IMAGE_FILE_HEADER {WORD Machine;//程序允许的CPU型号，如果为0表⽰能在任何CPU上运⾏，如果是0x14c表⽰的是386以及后续的型号WORD NumberOfSections;//⽂件中存在的区段的数量DWORD TimeDateStamp;//时间戳DWORD PointerToSymbolTable;DWORD NumberOfSymbols;WORD SizeOfOptionalHeader;//可选PE头的⼤⼩32位默认是E0,64位默认是F0WORD Characteristics;//⽂件属性，每个位有不同的含义，} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;代码解析。

PE文件头简析及输入表、输出表的分析2008年01月13日星期日 22:50PE文件头简析及输入表、输出表的分析前两天由于做个免杀，需要对输入表做些改变，所以又重新看了pe文件的结构尤其是输入表及输出表的一些细节方面，做个笔记，方便自己以后翻看，也给大家提个方便，呵呵！1、PE文件格式文件尾___________________________________________________________________Code View调试信息 |COFF 符号表 | 调试信息COFF 行号 |------------------------------------------------------------------.reloc |.edata | 块(Section) .data |.text |---------------------------------------------------------------------------------------------------IMAGE_SECTION_HEADER |IMAGE_SECTION_HEADER | 块表（Section Table）IMAGE_SECTION_HEADER |IMAGE_SECTION_HEADER | //对应.text块---------------------------------------------------------------------------------------------------------数据目录表 | //包含在可选映像头中，包含输出\入表信息 IMAGE_OPTIONAL_HEADER32 | 可选映像头IMAGE_FILE_HEADER | 文件映像头"PE",0,0 | pe文件标识（pe文件头包含三个部分）---------------------------------------------------------------------------------------------------------DOS stub |DOS 'MZ' HEADER | 该字段中的e_lfanew字段指向pe头 ---------------------------------------------------------------------------------------------------------文件头说明：01、输入表、输出表的位置：在pe头中可选映像头字段中数据目录表字段中，相对于pe文件标识处的偏移分别为：+80h、+78h；（其中pe文件标识的位置在DOS 'MZ' HEADER字段中的e_lfanew指出，该字段相对于文件开始的偏移为+3Ch，4个字节）；02、在用例子说明时用c32asm打开，其中的偏移均为文件在磁盘上存储的物理偏移，而查看的值均为给出的各个地址的RVA，转化方法入下：查到的RVA值-VOffset（可由lordpe查看）+ROffset 得到的就是可以c32asm中的偏移2、上面对pe文件格式做了简要介绍，下面主要分析输入表和输出表：输入表篇：概念不做介绍，位置上面已经给出，呵呵输入表的结构：输入表是以一个IMAGE_IMPORT_DESCRIPTOR(IID)数组开始，一个程序要调用几个dll就会有几个IID项，即每个IID对应于一个dllIID结构：IMAGE_IMPORT_DESCRIPTOR structunion{DWORD Characteristics ; ;00hDWORD OriginalFirstThunk; // 注释1};TimeDateStamp DWORD ;04h // 时间标志，可以忽略；ForwarderChain DWORD ;08h // 正向链接索引，一般为0，当程序引用一个dll中的api，而这个api又引用其它dll中的api时用；Name DWORD ;0Ch //DLL名字的指针，以00结尾的ASCII字符的RVA地址；FirstThunk DWORD ;10h // 注释2IMAGE_IMPORT_DESCRIPTOR ends注释 1：该值为一个 IMAGE_THUNK_DATA数组的RVA，其中的每个指针都指向IMAGE_IMPORT_BY_NAME结构。

深入剖析PE文件PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解.一、基本结构。

上图便是PE文件的基本结构。

（注意：DOS MZ Header和部分PE header的大小是不变的；DOS stub部分的大小是可变的。

）一个PE文件至少需要两个Section,一个是存放代码，一个存放数据。

NT上的PE文件基本上有9个预定义的Section。

分别是：.text, .bss, .rdata, .data, .rsrc, .edata, .idata, .pdata, 和.debug。

一些PE文件中只需要其中的一部分Section.以下是通常的分类：l 执行代码Section , 通常命名为：.text (MS) or CODE (Borland)l 数据Section, 通常命名为：.data, .rdata, 或.bss(MS) 或DATA(Borland).资源Section, 通常命名为：.edatal 输入数据Section, 通常命名为：.idatal 调试信息Section，通常命名为：.debug这些只是命名方式，便于识别。

通常与系统并无直接关系。

通常，一个PE文件在磁盘上的映像跟内存中的基本一致。

但并不是完全的拷贝。

Windows加载器会决定加载哪些部分，哪些部分不需要加载。

而且由于磁盘对齐与内存对齐的不一致，加载到内存的PE文件与磁盘上的PE文件各个部分的分布都会有差异。

当一个PE文件被加载到内存后，便是我们常说的模块(Module),其起始地址就是所谓的HModule.二、DOS头结构。

所有的PE文件都是以一个64字节的DOS头开始。

这个DOS头只是为了兼容早期的DOS操作系统。

这里不做详细讲解。

只需要了解一下其中几个有用的数据。

1. e_magic：DOS头的标识，为4Dh和5Ah。

分别为字母MZ。

PE⽂件结构解析说明：本⽂件中各种⽂件头格式截图基本都来⾃看雪的《加密与解密》；本⽂相当《加密与解密》的阅读笔记。

1.PE⽂件总体结构PE⽂件框架结构，就是exe⽂件的排版结构。

也就是说我们以⼗六进制打开⼀个.exe⽂件，开头的那些内容就是DOS头内容，下来是PE头内容，依次类推。

如果能认识到这样的内含，那么“exe开头的内容是不是就直接是我们编写的代码”（不是，开头是DOS头内容）以及“我们编写的代码被编排到了exe⽂件的哪⾥”（在.text段，.text具体地址由其相应的IMAGE_SECTION_HRADER指出）此类的问题答案就显⽽易见了。

exe⽂件从磁盘加载到内存，各部份的先后顺序是保持不变的，但由于磁盘（⼀般200H）和内存（⼀般1000H）区块的对齐⼤⼩不⼀样，所以同⼀内容在磁盘和在内存中的地址是不⼀样的。

换⾔之你在磁盘上看到⼀段内容⼀内容要到在内存中找到它--假设它是能映射到内容的部份--那么要做相应的地址转换。

（⽐如你在Ultraedit 中看到某⼏个字节⽽想在OllyDbg中找到这⼏个字节那么需要进⾏地址转换）另外要注意，PE⽂件中存放的地址值都是内存中的地址，这些地址在OllyDbg中不需要转换到其指定的位置就能找到其指向的内容；这要根据这个地址找到内容在Ultraedit的地址，需要将此RVA址转换成⽂件偏移地址。

还要注意DOS头/PE头/块表，映射到内存时属同⼀区块⽽且是第⼀区块，所以此三者上的RVA和⽂件偏移地址是相等的。

2.DOS头部2.1MS-DOS头部（IMAGE_DOS_HEADER）最后的e_lfanew即是PE⽂件的RVA地址我们在前边已经提过，对于DOS头/PE头/区块表三部分RVA和⽂件偏移地址是相等的，所以上边在⼗六进制⽂本编缉器中，直接转向e_lfanew指向的000000B0可以正好找到PE头。

2.2DOS stubDOS stub是当操作系统不⽀持PE⽂件时执⾏的部分，⼀般由编译器⾃⼰⽣成内容是输出“This program cannot be run in MS-DOS mode”等提⽰。

PE文件格式详解（一）0x00 前言PE文件是portable File Format（可移植文件）的简写，我们比较熟悉的DLL和exe文件都是PE文件。

了解PE文件格式有助于加深对操作系统的理解，掌握可执行文件的数据结构机器运行机制，对于逆向破解，加壳等安全方面方面的同学极其重要。

接下来我将通过接下来几篇详细介绍PE文件的格式。

0x01 基本概念PE文件使用的是一个平面地址空间，所有代码和数据都被合并在一起，组成一个很大的组织结构。

文件的内容分割为不同的区块（Setion，又称区段，节等），区段中包含代码数据，各个区块按照页边界来对齐，区块没有限制大小，是一个连续的结构。

每块都有他自己在内存中的属性，比如：这个块是否可读可写，或者只读等等。

认识PE文件不是作为单一内存映射文件被装入内存是很重要的，windows加载器（PE加载器）便利PE文件并决定文件的哪个部分被映射，这种映射方式是将文件较高的偏移位置映射到较高的内存地址中。

当磁盘的数据结构中寻找一些内容，那么几乎能在被装入到内存映射文件中找到相同的信息。

但是数据之间的位置可能改变，其某项的偏移地址可能区别于原始的偏移位置，不管怎么样，所表现出来的信息都允许从磁盘文件到内存偏移的转换，如下图：PS：PE文件头以下的地址无论在内存映射中还是在磁盘映射中都是一样的，当内存分页和磁盘分页一致时无需进行地址转换，只有当磁盘分页和内存分页不一样时才要进行地址转化，这点很重要，拿到PE文件是首先查看分页是否一致。

前两天一直没碰到内存和磁盘分页不一样的，所以这个点一直没发现，今天特来补上。

下面要介绍几个重要概念，分别是基地址（ImageBase）,相对虚拟地址（Relative Virtual Address），文件偏移地址（File Offset）。

1）基地址定义：当PE文件通过Windows加载器被装入内存后，内存中的版本被称作模块（Module）。

映射文件的起始地址被称作模块句柄（hMoudule），可以通过模块句柄访问其他的数据结构。