PE文件格式(内容详细)

PE文件格式详解(一)基础知识什么是PE文件格式：我们知道所有文件都是一些连续（当然实际存储在磁盘上的时候不一定是连续的）的数据组织起来的，不同类型的文件肯定组织形式也各不相同；PE文件格式便是一种文件组织形式，它是32位Window系统中的可执行文件EXE以及动态连接库文件DLL的组织形式。

为什么我们双击一个EXE文件之后它就会被Window运行，而我们双击一个DOC文件就会被Word打开并显示其中的内容；这说明文件中肯定除了存在那些文件的主体内容（比如EXE文件中的代码，数据等，DOC 文件中的文件内容等）之外还存在其他一些重要的信息。

这些信息是给文件的使用者看的，比如说EXE文件的使用者就是Window，而DOC文件的使用者就是Word。

Window可以根据这些信息知道把文件加载到地址空间的那个位置，知道从哪个地址开始执行；加载到内存后如何修正一些指令中的地址等等。

那么PE文件中的这些重要信息都是由谁加入的呢？是由编译器和连接器完成的，针对不同的编译器和连接器通常会提供不同的选项让我们在编译和联结生成PE文件的时候对其中的那些Window需要的信息进行设定；当然也可以按照默认的方式编译连接生成Window中默认的信息。

例如：WindowNT默认的程序加载基址是0x40000；你可以在用VC连接生成EXE文件的时候使用选项更改这个地址值。

在不同的操作系统中可执行文件的格式是不同的，比如在Linux上就有一种流行的ELF格式；当然它是由在Linux上的编译器和连接器生成的，所以编译器、连接器是针对不同的CPU架构和不同的操作系统而涉及出来的。

在嵌入式领域中我们经常提到交叉编译器一词，它的作用就是在一种平台下编译出能在另一个平台下运行的程序；例如，我们可以使用交叉编译器在跑Linux的X86机器上编译出能在Arm上运行的程序。

程序是如何运行起来的：一个程序从编写出来到运行一共需要那些工具，他们都对程序作了些什么呢？里面都涉及哪些知识需要学习呢？先说工具：编辑器－》编译器－》连接器－》加载器；首先我们使用编辑器编辑源文件；然后使用编译器编译程目标文件OBJ，这里面涉及到编译原理的知识；连接器把OBJ文件和其他一些库文件和资源文件连接起来生成EXE文件，这里面涉及到不同的连接器的知识，连接器根据OS的需要生成EXE文件保存着磁盘上；当我们运行EXE文件的时候有Window的加载器负责把EXE文件加载到线性地址空间，加载的时候便是根据上一节中说到的PE文件格式中的哪些重要信息。

PE文件格式”完整译文（附注释）一、前言（Preface）PE（“portable executable”，可移植的可执行文件）文件格式，是微软WindwosNT,Windows95和Win32子集①中的可执行的二进制文件的格式；在WindowsNT中，驱动程序也是这种格式。

它还能被应用于各种目标文件②和库文件中。

这种文件格式是由微软设计的，并于1993年被TIS（tool interface standard,工具接口标准）委员会（由Microsoft,Intel,Borland,Watcom,IBM,等等组成）所批准，它明显的基于COFF文件格式的许多知识。

COFF（“common object file fromat”,通用目标文件格式）是应用于好几种UNIX系统③和VMS④系统中的目标文件和可执行文件的格式。

Win32 SDK⑤中包含一个名叫<winnt.h>的头文件，其中含有很多用于PE格式的#define和typedef定义。

我将逐步地提到其中的很多结构成员名字和#define定义。

你也可能发现DLL文件“imagehelp.dll”很有用途，它是WindowNT的一部分，但其书面文件却很缺乏。

它的一些功用在“Developer Network”（开发者网络）中有所描述。

二、总览（General Layout）在一个PE文件的开始处，我们会看到一个MS-DOS可执行体（英语叫“stub”,意为“根，存根”）；它使任何PE文件都是一个有效的MS-DOS 可执行文件。

在DOS-根之后是一个32位的签名以及魔数0x00004550 (IMAGE_NT_SIGNATURE)（意为“NT签名”，也就是PE签名；十六进制数45和50分别代表ASCII码字母E和P----译者注）。

之后是文件头（按COFF格式），用来说明该二进制文件将运行在何种机器之上、分几个区段、链接的时间、是可执行文件还是DLL、等等。

WindowsPE⽂件格式在PE⽂件头之前理论Windows的PE(Portable Executable)⽂件有两个头，⼀个是是Windows头，⼀个是DOS头。

在⽂件的最开始会有⼀段DOS的EXE⽂件头，来说明这个程序不可以在DOS环境下运⾏。

我们需要在DOS头+3Ch处，会有⼀个4字节的指针指向windows头。

根据+3Ch处的值，定位到Windows⽂件头可以看到"PE"两个字节，Windows头就从此处开始。

这也就是Windows EXE⽂件经常被称为PE⽂件的原因。

实践1. 在xp环境下，⽤QuickView打开⼀个EXE⽂件，观察其头部。

在00h处有两个字节4D 5A表⽰这是⼀个DOS头。

在4Eh处，有⼀个字符串This program cannot be run in DOS mode. 表明这不是⼀个DOS⽂件在3C处，有⼀个四字节指针，其值为000000D0h，颜⾊标黄，指向windows头2. 查看⽂件地址D0处的值可以看到此处的两个字节为50 45即“PE”，表⽰这个EXE⽂件是⼀个PE⽂件，从这两个字节开始才是PE的⽂件头。

PE⽂件头背景知识要了解PE⽂件头的具体内容，我们需要对Windows的内存管理，⽂件存储有⼀定的了解。

接下来做简要的说明，想要了解更详细的内容可以去学习操作系统的相关知识。

Windows通过分段以及分页两种机制管理内存和实现进程的隔离及保护。

以下说明会涉及到⼀些寄存器和⽐较抽象的概念，不懂也没有关系。

只需要知道结论，*⼀个进程的虚拟地址会经过⼀些转换成为真正的物理地址. *进程之间的虚拟地址可以相同，但相同的虚拟地址会转化成不同的物理地址。

在Windows系统中，为了向下兼容，保留了分段(section)的的机制，但是CS，DS，SS这些段地址在GDT表中的值全部为0，所以经过分段后的逻辑地址(logical address)与线性地址(linear address)是完全⼀致的，在此处不⽤过多理会。

pe格式化方法PE格式（Portable Executable format）是Windows操作系统下的一种可执行文件的格式标准，它定义了可执行文件、动态链接库（DLL）和驱动程序等二进制文件的结构和标识方法。

本文将介绍PE格式化的基本原理和方法，并举例说明。

一、PE格式基本原理1. PE格式定义：PE格式是一种COFF（Common Object File Format）文件格式的变体，用于描述32位和64位Windows可执行文件的结构和组织。

2. 文件头部分：PE格式文件的开头是一个固定大小的文件头（File Header），用于描述整个PE文件的组织结构和属性信息，如文件类型、目标体系结构、节表位置等。

3. 节部分：紧随文件头部分的是节（Section）部分，它描述了PE格式文件中各个段或区块的属性和内容，如代码段、数据段、资源段等。

4. 数据目录：PE格式文件中包含了多个数据目录（Data Directory），每个数据目录描述了PE文件中某个特定功能的位置和大小信息，如导入表、导出表、资源表等。

1. 创建空白PE文件：使用合适的开发工具，如Visual Studio等，新建一个空白的PE 文件。

2. 定义文件头：根据所需的文件类型和目标体系结构，填写文件头部分的属性信息。

如指定文件类型为可执行文件（Executable）、目标体系结构为32位或64位等。

3. 定义节表：根据需求，定义PE文件中的各个节的属性和内容，如代码段、数据段、资源段等。

可以使用合适的工具，如Hex编辑器等，手动修改节表。

4. 填充数据目录：根据PE格式的规定，将所需的功能的位置和大小信息填写入数据目录表中，如导入表、导出表、资源表等。

5. 填充节内容：根据需求，将代码、数据和资源等内容填写入相应的节中。

可以使用合适的工具，如文本编辑器等，手动修改和填充节内容。

6. 调整文件大小：根据实际内容大小，调整整个PE文件的大小，确保文件大小与实际内容相符。

PE文件格式分析及修改(图)PE 的意思是 Portable Executable（可移植的执行体）。

它是 Win32环境自身所带的执行文件格式。

它的一些特性继承自Unix的Coff(common object file format)文件格式。

“Portable Executable”（可移植的执行体）意味着此文件格式是跨Win32平台的；即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。

PE文件在文件系统中，与存贮在磁盘上的其它文件一样，都是二进制数据，对于操作系统来讲，可以认为是特定信息的一个载体，如果要让计算机系统执行某程序，则程序文件的载体必须符合某种特定的格式。

要分析特定信息载体的格式，要求分析人员有数据分析、编码分析的能力。

在Win32系统中，PE 文件可以认为.exe、.dll、.sys 、.scr类型的文件，这些文件在磁盘上存贮的格式都是有一定规律的。

一、PE格式基础下表列出了PE的总体结构一个完整的PE文件，前五项是必定要有的，如果缺少或者数据出错，系统会拒绝执行该文件如下图DOS MZ header部分是DOS时代遗留的产物，是PE文件的一个遗传基因，一个Win32程序如果在DOS 下也是可以执行，只是提示：“This program cannot be run in DOS mode.”然后就结束执行，提示执行者，这个程序要在Win32系统下执行。

DOS stub 部分是DOS插桩代码，是DOS下的16位程序代码，只是为了显示上面的提示数据。

这段代码是编译器在程序编译过程中自动添加的。

PE header 是真正的Win32程序的格式头部，其中包括了PE格式的各种信息，指导系统如何装载和执行此程序代码。

Section table部分是PE代码和数据的结构数据，指示装载系统代码段在哪里，数据段在哪里等。

对于不同的PE文件，设计者可能要求该文件包括不同的数据的Section。

Microsoft可移植可执行文件和通用目标文件格式文件规范修订版8.1 － 2008年2月15日摘要本规范描述了Microsoft® Windows®操作系统家族下的可执行文件（映像）和目标文件的结构。

这些文件分别被称为可移植可执行（PE）文件和通用目标文件格式（COFF）文件。

注意：提供本文档是为了辅助开发用于Microsoft Windows操作系统上的工具和应用程序，但并不保证它在各个方面都是完整的规范。

Microsoft保留更改本文档而不通知的权利。

Microsoft可移植可执行文件和通用目标文件格式文件规范的此次修订版取代了本规范的6.0修订版。

本规范中的信息适用于以下操作系统：Windows Server® 2008Windows Vista®Windows Server 2003Windows XPWindows 2000本规范最后列出了参考信息和相关资源。

本规范的最新版在万维网的以下地址被维护：/whdc/system/platform/firmware/PECOFF.mspxSmartTech译电子信箱：zhzhtst@法律声明Microsoft可移植可执行文件和通用目标文件格式文件规范Microsoft Corporation修订版 8.1注意：提供本规范是为了辅助开发某些用于Microsoft Windows操作系统平台上的开发工具。

但是Microsoft并不保证它在各个方面都是完整的规范，也无法保证这里的所有信息在发布之后一直都是准确的。

Microsoft保留更改本规范而不通知的权利。

在合理的和非歧视性条款和条件下，Microsoft将针对任何Microsoft认为仅在面向Microsoft Windows的被称为编译器、链接器以及汇编程序的软件开发工具中实现和遵守本规范中所需部分这种有限用途下所需要的Microsoft权利要求书（如果存在）授予您免版税许可。