工具：

PETool，MiniHex，PEViewer

以本機notepad.exe為研究對象。本機64位，該notepad.exe是64位應用程序。

1 用peviewer打開

PE文件大體包括四部分，DOS頭，NT頭，節(jié)表以及具體的節(jié)。下圖展示的是前三部分。

2 DOS頭

e_magic：一個WORD類型，值是一個常數(shù)0x4D5A，用文本編輯器查看該值位‘MZ’，可執(zhí)行文件必須都是'MZ'開頭。

e_lfanew：為32位可執(zhí)行文件擴展的域，用來表示DOS頭之后的NT頭相對文件起始地址的偏移。

看下圖左方給出的e_lfanew為0x000000E8，在下圖右方找到此地址，如右方000000E0所示行的光標處；

起始四個字節(jié)是50 45 00 00，和右圖的PE頭的Signature相符合；

3 文件頭

PE文件頭的定義：

typedef struct _IMAGE_FILE_HEADER { ?
? ? WORD ? ?Machine; ?
? ? WORD ? ?NumberOfSections; ?
? ? DWORD ? TimeDateStamp; ?
? ? DWORD ? PointerToSymbolTable; ?
? ? DWORD ? NumberOfSymbols; ?
? ? WORD ? ?SizeOfOptionalHeader; ?
? ? WORD ? ?Characteristics; ?
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; ?

Machine：該文件的運行平臺，是x86、x64還是I64等等，可以是下面值里的某一個。
NumberOfSections：該PE文件中有多少個節(jié)，也就是節(jié)表中的項數(shù)。
TimeDateStamp：PE文件的創(chuàng)建時間，一般有連接器填寫。

對照下圖左方顯示和右方光標處，其內(nèi)容相符合；

4 導入表

自己算下導入表的起始地址，比較難算；用工具看下，如下圖；導入表起始地址是

0x00000178

peviewer給出的導入表內(nèi)容；

看16進制文件中的00000178，與peviewer給出的似乎不符，不過此處還不太理解；

16進制文件和PETool給出的內(nèi)容是相符合的；

5 導入表中的函數(shù)名

試著找下導入的SetWindowText函數(shù)的名字在16進制文件中的位置；

什么是Thunk RVA，對相關(guān)計算尚不太熟悉;

直接找到0000D640處看看，不是SetWindowText；

用搜索功能找SetWindowText；在如下位置；這個RVA的計算是比較復雜；以后再搞；

鏈接

http://www.pediy.com/kssd/tutorial/chap8-1-6.htm
http://blog.csdn.net/evileagle/article/details/11693499

總結(jié)

以上是生活随笔為你收集整理的图解用工具对PE文件格式做初步研究的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。