【正文】 。 3. 查看 MSDN， 對本章所描述的幾個內(nèi)存 API函數(shù)做詳細(xì)了解 ， 并寫出相應(yīng)的測試?yán)映绦?。 使用名字?jǐn)?shù)組 /地址數(shù)組 /索引數(shù)組。 t hen t his field is set t o t he t ime/dat a stamp of the DLL. 8 4 Fow ar der Chain Index of f ir st f or war der referenc e. 12 4 Nam e RVA Addres s of ASCII string containing t he DLL name. This addres s is relativ e t o t he image base. 16 4 Import A ddr ess Table RVA ( Thunk Table) Relative virtual addr ess of t he I mpor t Addres s Table: this t able is ident ical in contents t o t he I mpor t Lookup Table until the image is bound. 90 91 Import Address Table 92 Import Name Table 93 Import Hints/Names DLL/names 94 加載前 I MA G E_I MP O R T_D ES CRI P T O R I MA G E_I MP O R T_BY _N A ME O rigina l First T hu nk T im eD atestam p F orw ardC hain N am e F irstTh un k I MA G E_TH U N K _D A T A I MA G E_TH U N K _D A T A …… 01 函數(shù) 1 23 函數(shù) 2 …… I MA G E_TH U N K _D A T A I MA G E_TH U N K _D A T A …… K ERN EL3 LL 95 加載后 I MA G E_I MP O R T_D ES CRI P T O R I MA G E_I MP O R T_BY _N A ME O rigina l First T hu nk T im eD atestam p F orw ardC hain N am e F irstTh un k I MA G E_TH U N K _D A T A I MA G E_TH U N K _D A T A …… 01 函數(shù) 1 23 函數(shù) 2 …… I MA G E_TH U N K _D A T A I MA G E_TH U N K _D A T A …… K ERN EL32 .D LL 函數(shù) 1 地址 函數(shù) 2 地址 …… 96 引出函數(shù)節(jié) 引出函數(shù)節(jié)一般名為 .edata，這是本文件向其它程序提供調(diào)用的函數(shù)列表。 89 Import Directory Table Of f set Si ze Fiel d Descr iption 4 Import Lookup Table RVA ( Char acter istics ) Relative virtual addr ess of t he I mpor t Lookup Table。只有當(dāng) Pe文件被裝入內(nèi)存時， windows PE裝載器才將相關(guān)的 DLL裝入，并將輸入函數(shù)的指令和函數(shù)實(shí)際所處的地址聯(lián)系，即動態(tài)鏈接。 84 85 86 87 88 Import Table 輸入函數(shù)就是被程序調(diào)用但其執(zhí)行代碼又不在程序中的函數(shù)，這些函數(shù)代碼位于相關(guān)的 DLL文件中，在調(diào)用者程序中必須保留相關(guān)函數(shù)信息，如函數(shù)名、 DLL文件名。以下的 IMAGE_RESOURCE_DIRECTORY結(jié)構(gòu)形成了這棵樹的根和各個結(jié)點(diǎn)。 83 節(jié) 資源段， .rsrc .rsrc段包含了模塊的資源信息。 .rdata段表示只讀的數(shù)據(jù)，比如字符串量、常量和調(diào)試目錄信息。 .text 位于所有節(jié)的首部。 82 節(jié) 典型地?fù)碛?9個預(yù)定義節(jié)，它們是 .text、 .bss、 .rdata、 .data、 .rsrc、 .edata、.idata、 .pdata和 .debug 可執(zhí)行代碼段， .text ， .text段也包含了早先提到過的入口點(diǎn)。如果在一個 EXE塊中這個塊未被置位，載入器會把這塊的內(nèi)存映射頁面標(biāo)為只讀或 只執(zhí)行 。在 EXE文件中，這個域總被置位。這個標(biāo)志通常在 包含代碼 標(biāo)志（ 0x00000020）被置位時置位。如： LINK /SECTION:MYDATA,RWS ... 告訴連接器叫做 MYDATA的塊是可讀的，可寫的，共享的。和 DLL一起使用時，這個塊的數(shù)據(jù)可以在使用這個 DLL的進(jìn)程之間共享。最通常的可丟棄塊是基本重定位塊（ .reloc ）。 0x00000800? 這個塊的內(nèi)容不應(yīng)放進(jìn)最終的 EXE文件中。 0x00000080? 這個塊包含未初始化的數(shù)據(jù)（如 .bss 塊） 0x00000200? 這個塊包含注釋或其它的信息。 81 Characteristics節(jié)屬性 0x00000020? 這個塊包含代碼。 ULONG Characteristics。 USHORT NumberOfRelocations。 ULONG PointerToRelocations。 //本節(jié)的相對虛擬地址 ULONG SizeOfRawData。 } Misc。 union { ULONG PhysicalAddress。如 GUI子系統(tǒng) 24 (46H) DllCharacteristics 2 何時 DllMain被調(diào)用，一般為 0 25 (48H) SizeOfStackReserve 4 初始化線程時保留的堆棧大小 26 (4CH) SizeOfStackCommit 4 初始化線程時提交的堆棧大小 27 (50H) SizeOfHeapReserve 4 進(jìn)程初始化時保留的堆大小 28 (54H) SizeOfHeapCommit 4 進(jìn)程初始化時提交的堆大小 29 (58H) LoaderFlags 4 此項(xiàng)與調(diào)試有關(guān) 30 (5CH) NumberRvaAndSize 4 數(shù)據(jù)目錄的項(xiàng)數(shù)，一般是 16 31 (60H) DataDirectory[] 128 數(shù)據(jù)目錄 77 78 79 節(jié)表 節(jié)包含了文件的內(nèi)容，包括代碼、數(shù)據(jù)、資源以及其它可執(zhí)行信息，每個段都有一個頭部和一個實(shí)體（原始數(shù)據(jù)）。 Bit 14 (IMAGE_FILE_UP_SYSTEM_ONLY)：表示文件被設(shè)計(jì)成不能運(yùn)行于多處理器系統(tǒng)中 。在可執(zhí)行文件中沒有使用 。在這種情況下 ， OS必須把文件拷貝到交換文件中執(zhí)行 。 =1 Bit 9 (IMAGE_FILE_DEBUG_STRIPPED)：表示沒有調(diào)試信息 Bit 10 (IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP)：置 1表示該程序不能運(yùn)行于可移動介質(zhì)中 （ 如軟驅(qū)或 CDROM） 。 define IMAGE_SIZEOF_FILE_HEADER 20 73 74 文件屬性： Bit 0 (IMAGE_FILE_RELOCS_STRIPPED)：置 1表示文件中沒有重定向信息 。 USHORT Characteristics。 ULONG NumberOfSymbols。 ULONG TimeDateStamp。 70 71 NT映像頭 NT映像頭的結(jié)構(gòu)定義如下 : IMAGE_NT_HEADERS STRUCT Signature dd ? //PE FileHeader IMAGE_FILE_HEADER OptionalHeader IMAGE_OPTIONAL_HEADER32 IMAGE_NT_HEADERS ENDS 72 IMAGE FILE HEADER typedef struct _IMAGE_FILE_HEADER { USHORT Machine。 // 保留字 LONG e_lfanew。 // OEM標(biāo)識符（相對 e_oeminfo） USHORT e_oeminfo。 // 覆蓋號 USHORT e_res[4]。 // 初始的 CS值（相對偏移量） USHORT e_lfarlc。 // 校驗(yàn)和 USHORT e_ip。 // 初始的 SS值（相對偏移量） USHORT e_sp。 // 所需的最小附加段 USHORT e_maxalloc。 // 重定義元素個數(shù) USHORT e_cparhdr。 // 文件最后頁的字節(jié)數(shù) USHORT e_cp。從注釋中理解， e_lfanew是 File pointer，非 RVA. 69 typedef struct _IMAGE_DOS_HEADER { // DOS的 .EXE頭部 USHORT e_magic。 // 魔術(shù)數(shù)字 =MZ LONG e_lfanew。如果兩種對齊值相同，加快加載。在 x86系統(tǒng)中，內(nèi)存頁的大小為 4k，即 0x1000,區(qū)塊以 4k的倍數(shù)對齊。區(qū)塊是按頁對齊的，區(qū)塊總是至少以一個頁邊界為開始。 65 PE的名詞 相對虛擬地址（ Relative Virtual Address， RVA） 是指內(nèi)存中相對于 pe文件裝入地址（基地址）的偏移量。默認(rèn)，EXE： 0x00400000, DLL:0x1000000。 虛擬地址（ Virtual Address， VA） 386保護(hù)模式下，程序訪問存儲器所使用的邏輯地址稱為虛擬地址（ VA），也稱內(nèi)存偏移地址（ memory offset）。 63 This program cannot be run in DOS mode. Section headers sections 64 PE的名詞 入口點(diǎn)（ entry point） ,程序執(zhí)行的第一行代碼 文件偏移地址（ File offset） Pe文件存儲在磁盤上，各數(shù)據(jù)段的地址稱為文件偏移地址或物理地址（ raw offset）。文件內(nèi)容被分割為不同的 區(qū)塊 （ section, 區(qū)段 /節(jié) ） ， 塊中包含代碼或數(shù)據(jù) ， 各個塊按頁的邊界對齊 ， 塊沒有大小限制 ，是一個連續(xù)結(jié)構(gòu) 。 60 61 NE文件格式 NE 是 New