【正文】 rs 所有所有 頭頭 +節(jié)節(jié) 表的大小，也就等于文件尺寸減表的大小，也就等于文件尺寸減去文件中所有去文件中所有 節(jié)節(jié) 的尺寸。可以以此的尺寸。可以以此 值值 作作 為為 PE文件第一文件第一 節(jié)節(jié) 的文件偏移量。的文件偏移量。Subsystem NT用來(lái)用來(lái) 識(shí)別識(shí)別 PE文件屬于哪個(gè)子系文件屬于哪個(gè)子系 統(tǒng)統(tǒng) 。DataDirectory 一一 IMAGE_DATA_DIRECTORY 結(jié)結(jié) 構(gòu)數(shù)構(gòu)數(shù)組組 。每個(gè)。每個(gè) 結(jié)結(jié) 構(gòu)構(gòu) 給給 出一個(gè)重要數(shù)據(jù)出一個(gè)重要數(shù)據(jù) 結(jié)結(jié) 構(gòu)的構(gòu)的 RVA，比如引入地址表等。，比如引入地址表等。DataDirectory數(shù)據(jù)目錄數(shù)據(jù)目錄n 一個(gè)一個(gè) IMAGE_DATA_DIRECTORY數(shù)組，里面放數(shù)組，里面放的是這個(gè)可執(zhí)行文件的一些重要部分的的是這個(gè)可執(zhí)行文件的一些重要部分的 RVA和和尺寸，目的是使可執(zhí)行文件的裝入更快，數(shù)組尺寸，目的是使可執(zhí)行文件的裝入更快，數(shù)組的項(xiàng)數(shù)由上一個(gè)域給出。的項(xiàng)數(shù)由上一個(gè)域給出。IMAGE_DATA_DIRECTORY包含有兩個(gè)域，如包含有兩個(gè)域，如下：下： IMAGE_DATA_DIRECTORY VitualAddress DD? Size DD? IMAGE_DATA_DIRECTORY ENDS節(jié)表節(jié)表n 節(jié)表其實(shí)就是緊挨著節(jié)表其實(shí)就是緊挨著 PE header 的一結(jié)的一結(jié)構(gòu)數(shù)組。該數(shù)組成員的數(shù)目由構(gòu)數(shù)組。該數(shù)組成員的數(shù)目由 file header (IMAGE_FILE_HEADER) 結(jié)構(gòu)結(jié)構(gòu)中中 NumberOfSections 域的域值來(lái)決域的域值來(lái)決定。節(jié)表結(jié)構(gòu)又命名為定。節(jié)表結(jié)構(gòu)又命名為 IMAGE_SECTION_HEADER。n 結(jié)構(gòu)中放的是一個(gè)節(jié)的信息，如名字、結(jié)構(gòu)中放的是一個(gè)節(jié)的信息，如名字、地址、長(zhǎng)度、屬性等。地址、長(zhǎng)度、屬性等。IMAGE_SECTION_HEADER順序順序 名字名字 大?。ù笮。ㄗ止?jié)）字節(jié)）描述描述1 Name * 8 節(jié)名節(jié)名2 PhysicalAddress或或VirtualSize4 OBJ文件用作表示本節(jié)物理地址文件用作表示本節(jié)物理地址EXE文件中表示節(jié)的真實(shí)尺寸文件中表示節(jié)的真實(shí)尺寸3 Virtual * 4 這個(gè)值這個(gè)值 +映像基地址映像基地址 =本節(jié)在內(nèi)本節(jié)在內(nèi)存中的真正地址。存中的真正地址。 OBJ中無(wú)意中無(wú)意義。義。4 SizeOfRawData * 4 本節(jié)的原始尺寸本節(jié)的原始尺寸5 PointerToRawData * 4 本節(jié)原始數(shù)據(jù)在文件中的位置本節(jié)原始數(shù)據(jù)在文件中的位置IMAGE_SECTION_HEADER順序順序 名字名字 大小大?。ㄗ郑ㄗ止?jié)）節(jié)）描述描述6 PointerToRelocations 4 OBJ中表示該節(jié)重定位信息的偏移中表示該節(jié)重定位信息的偏移EXE文件中無(wú)意義文件中無(wú)意義7 PointerToLinenumbers 4 行號(hào)偏移行號(hào)偏移8 NumberOfRelocations 2 本節(jié)要重定位的數(shù)目本節(jié)要重定位的數(shù)目9 NumberOfLinenumbers 2 本節(jié)在行號(hào)表中的行號(hào)數(shù)目本節(jié)在行號(hào)表中的行號(hào)數(shù)目10 Characteristics * 4 節(jié)屬性節(jié)屬性節(jié)節(jié) “節(jié)（節(jié)（ Section)”跟在節(jié)表之后，一般跟在節(jié)表之后，一般 PE文件都有文件都有幾個(gè)幾個(gè) “節(jié)節(jié) ”。比較常見(jiàn)的有：。比較常見(jiàn)的有：n 代碼節(jié)代碼節(jié)n 已初始化的數(shù)據(jù)節(jié)已初始化的數(shù)據(jù)節(jié)n 未初始化的數(shù)據(jù)節(jié)未初始化的數(shù)據(jù)節(jié)n 資源節(jié)資源節(jié)n 引入函數(shù)節(jié)引入函數(shù)節(jié)n 引出函數(shù)節(jié)引出函數(shù)節(jié)代碼節(jié)代碼節(jié)n 代碼節(jié)一般名為代碼節(jié)一般名為 .text或或 CODE，該節(jié)含有程序，該節(jié)含有程序的可執(zhí)行代碼。的可執(zhí)行代碼。n 每個(gè)每個(gè) PE文件都有代碼節(jié)文件都有代碼節(jié)n 在代碼節(jié)中，還有一些特別的數(shù)據(jù)，是作為調(diào)在代碼節(jié)中，還有一些特別的數(shù)據(jù)，是作為調(diào)用映入函數(shù)之用。如：用映入函數(shù)之用。如： Call MessageBoxA的調(diào)用，反匯編后該指令被的調(diào)用，反匯編后該指令被換為換為 call 0040101A,而地址而地址 0040101A仍在仍在 .text中，它放有一個(gè)跳轉(zhuǎn)指令中，它放有一個(gè)跳轉(zhuǎn)指令 jmp dword ptr[0040304c],即這條跳轉(zhuǎn)指令的目的地址處即這條跳轉(zhuǎn)指令的目的地址處于于 .idata節(jié)中的節(jié)中的 0040304C處，其中放的才是處，其中放的才是MessageBoxA的真正地址，如下圖：的真正地址，如下圖：已初始化的數(shù)據(jù)節(jié)已初始化的數(shù)據(jù)節(jié)n 這個(gè)節(jié)一般取名為這個(gè)節(jié)一般取名為 .data或或 DATAn 已初始化的數(shù)據(jù)節(jié)中放的是在編譯時(shí)刻就已初始化的數(shù)據(jù)節(jié)中放的是在編譯時(shí)刻就已確定的數(shù)據(jù)。如已確定的數(shù)據(jù)。如 Hello World 中的字符串中的字符串“Hello World!”。未初始化的數(shù)據(jù)節(jié)未初始化的數(shù)據(jù)節(jié)n 這個(gè)節(jié)的名稱一般叫這個(gè)節(jié)的名稱一般叫 .bbs。n 這個(gè)節(jié)里放有未初始化的全局變量和靜態(tài)這個(gè)節(jié)里放有未初始化的全局變量和靜態(tài)變量。變量。資源節(jié)資源節(jié)n 資源節(jié)一般名為資源節(jié)一般名為 .rsrcn 這個(gè)節(jié)放有如圖標(biāo)、對(duì)話框等程序要用到這個(gè)節(jié)放有如圖標(biāo)、對(duì)話框等程序要用到的資源。的資源。n 資源節(jié)是樹(shù)形結(jié)構(gòu)的，它有一個(gè)主目錄，資源節(jié)是樹(shù)形結(jié)構(gòu)的，它有一個(gè)主目錄，主目錄下又有子目錄，子目錄下可以是子主目錄下又有子目錄，子目錄下可以是子目錄或數(shù)據(jù)。目錄或數(shù)據(jù)。n 都是一個(gè)都是一個(gè) IMAGE_RESOURCE_DIRECTORY結(jié)構(gòu)。結(jié)構(gòu)如下：結(jié)構(gòu)。結(jié)構(gòu)如下：IMAGE_RESOURCE_DIRECTORY 結(jié)構(gòu)結(jié)構(gòu)順序順序 名字名字 大?。ù笮。ㄗ止?jié)）字節(jié)）描述描述1 Characteritics 4 通常為通常為 02 TimeDateStamp 4 資源生成時(shí)間資源生成時(shí)間3 MajorVersion 2 主版本號(hào)主版本號(hào)4 MinorVersion 2 次版本號(hào)次版本號(hào)5 NumberOfNamedEntries 2 以名字標(biāo)識(shí)的資源以名字標(biāo)識(shí)的資源數(shù)數(shù)6 NumberOfldEntries 2 以以 ID標(biāo)識(shí)的資源數(shù)標(biāo)識(shí)的資源數(shù)引入函數(shù)節(jié)引入函數(shù)節(jié)n 一個(gè)引入函數(shù)是被某模塊調(diào)用的但又不在一個(gè)引入函數(shù)是被某模塊調(diào)用的但又不在調(diào)用者模塊中的函數(shù)調(diào)用者模塊中的函數(shù) n 這個(gè)節(jié)一般名為這個(gè)節(jié)一般名為 .idata，也叫引入表。，也叫引入表。n 它包含從其它（系統(tǒng)或第三方寫(xiě)的）它包含從其它（系統(tǒng)或第三方寫(xiě)的） DLL中中引入的函數(shù)，例如引入的函數(shù)，例如 、 等。等。n 它的開(kāi)始是一個(gè)它的開(kāi)始是一個(gè)IMAGE_IMPORT_DESCRIPTOR數(shù)組。這個(gè)數(shù)組。這個(gè)數(shù)組的長(zhǎng)度不定，但他的最后一項(xiàng)是全數(shù)組的長(zhǎng)度不定，但他的最后一項(xiàng)是全 0，可以以此判斷數(shù)組的結(jié)束?？梢砸源伺袛鄶?shù)組的結(jié)束。^_^ 謝謝！謝謝！n演講完畢，謝謝觀看！