一、PE文件基本结构
上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。)
二、Section 详解
一个PE文件至少需要两个Section,一个是存放代码,一个存放数据。NT上的PE文件基本上有9个预定义的Section。分别 是:.text, .bss, .rdata, .data, .rsrc, .edata, .idata, .pdata, 和 .debug。一些PE文件中只需要其中的一部分Section.以下是通常的分类:
执行代码Section , 通常命名为: .text (MS) or CODE (Borland)
数据Section, 通常命名为:.data, .rdata, 或 .bss(MS) 或 DATA(Borland).
资源Section, 通常命名为:.edata
输入数据Section, 通常命名为:.idata
调试信息Section,通常命名为:.debug
这些只是命名方式,便于识别。通常与系统并无直接关系。通常,一个PE文件在磁盘上的映像跟内存中的基本一致。但并不是完全的拷贝。Windows 加载器会决定加载哪些部分,哪些部分不需要加载。而且由于磁盘对齐与内存对齐的不一致,加载到内存的PE文件与磁盘上的PE文件各个部分的分布都会有差异。
PS:PE 文件中的数据按照磁盘数据标准存放,以 0x200 字节为基本单位来进行组织的,因此大家学习久了会发现 PE 数据节的大小永远是 0x200 的整数倍。
同样的,当指令代码装入内存后,将按照内存数据标准存放,以 0x1000 字节来进行组织的,因此,内存中的节就总是 0x1000 的整数倍。
三、Address 详解
1.文件偏移地址(FO)
文件偏移地址也叫物理地址,用十六进制工具(如 WINHex,C32asm 等)打开文件所显示的地址就是文件偏移地址。文件偏移地址从 PE 文件的第一个字节开始计数,起始值为 0。这是文件在磁盘上存放时相对文件开头的偏移。
2.虚拟内存地址 (VA)
PE 文件中的指令被装入内存后的地址。
3.镜像基址(IB)
PE 文件装入内存时的基地址。默认情况下,EXE 文件在内存中的基地址是 0x00400000,而DLL文件是 0x10000000。不过,这个地址程序员们是可以通过修改编译选项更改的。我这样讲,大家把ImageBase 当作是一个坐标原点。有了这个原点,那虚拟内存地址(VA)都是从这个原点起步的。
4.相对虚拟地址 (RVA)
既然镜像基址(Image Base)是原点,而虚拟内存地址是从原点开始“跑”的。那么虚拟内存地址相对镜像基址跑了多远就是“相对虚拟地址”了。也就是说VA = ImageBase + RVA。