【正文】 rs 所有所有 頭頭 +節(jié)節(jié) 表的大小，也就等于文件尺寸減表的大小，也就等于文件尺寸減去文件中所有去文件中所有 節(jié)節(jié) 的尺寸?？梢砸源说某叽??？梢砸源?值值 作作 為為 PE文件第一文件第一 節(jié)節(jié) 的文件偏移量。的文件偏移量。Subsystem NT用來用來 識別識別 PE文件屬于哪個子系文件屬于哪個子系 統(tǒng)統(tǒng) 。DataDirectory 一一 IMAGE_DATA_DIRECTORY 結(jié)結(jié) 構(gòu)數(shù)構(gòu)數(shù)組組 。每個。每個 結(jié)結(jié) 構(gòu)構(gòu) 給給 出一個重要數(shù)據(jù)出一個重要數(shù)據(jù) 結(jié)結(jié) 構(gòu)的構(gòu)的 RVA，比如引入地址表等。，比如引入地址表等。DataDirectory數(shù)據(jù)目錄數(shù)據(jù)目錄n 一個一個 IMAGE_DATA_DIRECTORY數(shù)組，里面放數(shù)組，里面放的是這個可執(zhí)行文件的一些重要部分的的是這個可執(zhí)行文件的一些重要部分的 RVA和和尺寸，目的是使可執(zhí)行文件的裝入更快，數(shù)組尺寸，目的是使可執(zhí)行文件的裝入更快，數(shù)組的項數(shù)由上一個域給出。的項數(shù)由上一個域給出。IMAGE_DATA_DIRECTORY包含有兩個域，如包含有兩個域，如下：下： IMAGE_DATA_DIRECTORY VitualAddress DD? Size DD? IMAGE_DATA_DIRECTORY ENDS節(jié)表節(jié)表n 節(jié)表其實就是緊挨著節(jié)表其實就是緊挨著 PE header 的一結(jié)的一結(jié)構(gòu)數(shù)組。該數(shù)組成員的數(shù)目由構(gòu)數(shù)組。該數(shù)組成員的數(shù)目由 file header (IMAGE_FILE_HEADER) 結(jié)構(gòu)結(jié)構(gòu)中中 NumberOfSections 域的域值來決域的域值來決定。節(jié)表結(jié)構(gòu)又命名為定。節(jié)表結(jié)構(gòu)又命名為 IMAGE_SECTION_HEADER。n 結(jié)構(gòu)中放的是一個節(jié)的信息，如名字、結(jié)構(gòu)中放的是一個節(jié)的信息，如名字、地址、長度、屬性等。地址、長度、屬性等。IMAGE_SECTION_HEADER順序順序 名字名字 大?。ù笮。ㄗ止?jié)）字節(jié)）描述描述1 Name * 8 節(jié)名節(jié)名2 PhysicalAddress或或VirtualSize4 OBJ文件用作表示本節(jié)物理地址文件用作表示本節(jié)物理地址EXE文件中表示節(jié)的真實尺寸文件中表示節(jié)的真實尺寸3 Virtual * 4 這個值這個值 +映像基地址映像基地址 =本節(jié)在內(nèi)本節(jié)在內(nèi)存中的真正地址。存中的真正地址。 OBJ中無意中無意義。義。4 SizeOfRawData * 4 本節(jié)的原始尺寸本節(jié)的原始尺寸5 PointerToRawData * 4 本節(jié)原始數(shù)據(jù)在文件中的位置本節(jié)原始數(shù)據(jù)在文件中的位置IMAGE_SECTION_HEADER順序順序 名字名字 大小大小（字（字節(jié)）節(jié)）描述描述6 PointerToRelocations 4 OBJ中表示該節(jié)重定位信息的偏移中表示該節(jié)重定位信息的偏移EXE文件中無意義文件中無意義7 PointerToLinenumbers 4 行號偏移行號偏移8 NumberOfRelocations 2 本節(jié)要重定位的數(shù)目本節(jié)要重定位的數(shù)目9 NumberOfLinenumbers 2 本節(jié)在行號表中的行號數(shù)目本節(jié)在行號表中的行號數(shù)目10 Characteristics * 4 節(jié)屬性節(jié)屬性節(jié)節(jié) “節(jié)（節(jié)（ Section)”跟在節(jié)表之后，一般跟在節(jié)表之后，一般 PE文件都有文件都有幾個幾個 “節(jié)節(jié) ”。比較常見的有：。比較常見的有：n 代碼節(jié)代碼節(jié)n 已初始化的數(shù)據(jù)節(jié)已初始化的數(shù)據(jù)節(jié)n 未初始化的數(shù)據(jù)節(jié)未初始化的數(shù)據(jù)節(jié)n 資源節(jié)資源節(jié)n 引入函數(shù)節(jié)引入函數(shù)節(jié)n 引出函數(shù)節(jié)引出函數(shù)節(jié)代碼節(jié)代碼節(jié)n 代碼節(jié)一般名為代碼節(jié)一般名為 .text或或 CODE，該節(jié)含有程序，該節(jié)含有程序的可執(zhí)行代碼。的可執(zhí)行代碼。n 每個每個 PE文件都有代碼節(jié)文件都有代碼節(jié)n 在代碼節(jié)中，還有一些特別的數(shù)據(jù)，是作為調(diào)在代碼節(jié)中，還有一些特別的數(shù)據(jù)，是作為調(diào)用映入函數(shù)之用。如：用映入函數(shù)之用。如： Call MessageBoxA的調(diào)用，反匯編后該指令被的調(diào)用，反匯編后該指令被換為換為 call 0040101A,而地址而地址 0040101A仍在仍在 .text中，它放有一個跳轉(zhuǎn)指令中，它放有一個跳轉(zhuǎn)指令 jmp dword ptr[0040304c],即這條跳轉(zhuǎn)指令的目的地址處即這條跳轉(zhuǎn)指令的目的地址處于于 .idata節(jié)中的節(jié)中的 0040304C處，其中放的才是處，其中放的才是MessageBoxA的真正地址，如下圖：的真正地址，如下圖：已初始化的數(shù)據(jù)節(jié)已初始化的數(shù)據(jù)節(jié)n 這個節(jié)一般取名為這個節(jié)一般取名為 .data或或 DATAn 已初始化的數(shù)據(jù)節(jié)中放的是在編譯時刻就已初始化的數(shù)據(jù)節(jié)中放的是在編譯時刻就已確定的數(shù)據(jù)。如已確定的數(shù)據(jù)。如 Hello World 中的字符串中的字符串“Hello World!”。未初始化的數(shù)據(jù)節(jié)未初始化的數(shù)據(jù)節(jié)n 這個節(jié)的名稱一般叫這個節(jié)的名稱一般叫 .bbs。n 這個節(jié)里放有未初始化的全局變量和靜態(tài)這個節(jié)里放有未初始化的全局變量和靜態(tài)變量。變量。資源節(jié)資源節(jié)n 資源節(jié)一般名為資源節(jié)一般名為 .rsrcn 這個節(jié)放有如圖標(biāo)、對話框等程序要用到這個節(jié)放有如圖標(biāo)、對話框等程序要用到的資源。的資源。n 資源節(jié)是樹形結(jié)構(gòu)的，它有一個主目錄，資源節(jié)是樹形結(jié)構(gòu)的，它有一個主目錄，主目錄下又有子目錄，子目錄下可以是子主目錄下又有子目錄，子目錄下可以是子目錄或數(shù)據(jù)。目錄或數(shù)據(jù)。n 都是一個都是一個 IMAGE_RESOURCE_DIRECTORY結(jié)構(gòu)。結(jié)構(gòu)如下：結(jié)構(gòu)。結(jié)構(gòu)如下：IMAGE_RESOURCE_DIRECTORY 結(jié)構(gòu)結(jié)構(gòu)順序順序 名字名字 大?。ù笮。ㄗ止?jié)）字節(jié)）描述描述1 Characteritics 4 通常為通常為 02 TimeDateStamp 4 資源生成時間資源生成時間3 MajorVersion 2 主版本號主版本號4 MinorVersion 2 次版本號次版本號5 NumberOfNamedEntries 2 以名字標(biāo)識的資源以名字標(biāo)識的資源數(shù)數(shù)6 NumberOfldEntries 2 以以 ID標(biāo)識的資源數(shù)標(biāo)識的資源數(shù)引入函數(shù)節(jié)引入函數(shù)節(jié)n 一個引入函數(shù)是被某模塊調(diào)用的但又不在一個引入函數(shù)是被某模塊調(diào)用的但又不在調(diào)用者模塊中的函數(shù)調(diào)用者模塊中的函數(shù) n 這個節(jié)一般名為這個節(jié)一般名為 .idata，也叫引入表。，也叫引入表。n 它包含從其它（系統(tǒng)或第三方寫的）它包含從其它（系統(tǒng)或第三方寫的） DLL中中引入的函數(shù)，例如引入的函數(shù)，例如 、 等。等。n 它的開始是一個它的開始是一個IMAGE_IMPORT_DESCRIPTOR數(shù)組。這個數(shù)組。這個數(shù)組的長度不定，但他的最后一項是全數(shù)組的長度不定，但他的最后一項是全 0，可以以此判斷數(shù)組的結(jié)束?？梢砸源伺袛鄶?shù)組的結(jié)束。^_^ 謝謝！謝謝！n演講完畢，謝謝觀看！