//IMAGE_OPTIONAL_HEADER结构(可选映像头) typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; //幻数,一般为10BH BYTE MajorLinkerVersion; //链接程序的主版本号 BYTE MinorLinkerVersion; //链接程序的次版本号 DWORD SizeOfCode; //代码段大小 DWORD SizeOfInitializedData; //已初始化数据块的大小 DWORD SizeOfUninitializedData; //未初始化数据库的大小 DWORD AddressOfEntryPoint; //程序开始执行的入口地址,这是一个RVA(相对虚拟地址) DWORD BaseOfCode; //代码段的起始RVA 一般来说 是 1000h DWORD BaseOfData; //数据段的起始RVA // // NT additional fields. // DWORD ImageBase; //可执行文件默认装入的基地址 DWORD SectionAlignment; //内存中块的对齐值(默认的块对齐值为1000H,4KB个字节) DWORD FileAlignment;//文件中块的对齐值(默认值为200H字节,为了保证块总是从磁盘的扇区开始的) WORD MajorOperatingSystemVersion;//要求操作系统的最低版本号的主版本号 WORD MinorOperatingSystemVersion;//要求操作系统的最低版本号的次版本号 WORD MajorImageVersion;//该可执行文件的主版本号 WORD MinorImageVersion;//该可执行文件的次版本号 WORD MajorSubsystemVersion;//要求最低之子系统版本的主版本号 默认 0004 WORD MinorSubsystemVersion;//要求最低之子系统版本的次版本号 默认 0000 DWORD Win32VersionValue;//保留字 默认00000000 DWORD SizeOfImage;//映像装入内存后的总尺寸 一般为00004000 映射到内存中一个块1000内存 DWORD SizeOfHeaders;//部首及块表的大小 DWORD CheckSum;//CRC检验和 一般为00000000 WORD Subsystem;//程序使用的用户接口子系统 WORD DllCharacteristics;//DLLmain函数何时被调用,默认为0 DWORD SizeOfStackReserve;//初始化时堆栈大小 DWORD SizeOfStackCommit;//初始化时实际提交的堆栈大小 DWORD SizeOfHeapReserve;//初始化时保留的堆大小 DWORD SizeOfHeapCommit;//初始化时实际提交的对大小 DWORD LoaderFlags;//与调试有关,默认为0 DWORD NumberOfRvaAndSizes;//数据目录结构的数目 IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//数据目录表 } 具有31个成员 Magic 幻数,32位pe文件总为010B 这个常数的定义如下: #define IMAGE_NT_OPTIONAL_HDR32_MAGIC 0x10B #define IMAGE_NT_OPTIONAL_HDR64_MAGIC 0x20B #define IMAGE_ROM_OPTIONAL_HDR_MAGIC 0x107 MajorLinkerVersion 连接程序的主版本号 如vc6.0的为06h MinorLinkerVersion 连接程序的次版本号 如vc6.0的为00h SizeOfCode pe文件代码段的大小.是FileAlignment的整数倍. SizeOfInitializedData 所有含已初始化数据的块的大小,一般在.data段中. SizeOfUninitializedData 所有含未初始化数据的块的大小,一般在.bss段中. AddressOfEntryPoint 程序开始执行的地址,这是一个RVA(相对虚拟地址).对于exe文件,这里是启动代码;对于dll文件,这里是libMain()的地址. 在脱壳时第一件事就是找入口点,指的就是这个值. BaseOfCode 代码段基地址,微软的连接程序生成的程序一般把这个值置为1000h, BaseOfData 数据段基地址 ImageBase pe文件默认的装入地址.windows9x中exe文件为400000h,dll文件为10000000h. SectionAlignment 内存中区块的对齐单位.区块总是对齐到这个值的整数倍.x86的32位系统上默认值位1000h FileAlignment pe文件中区块的对齐单位.pe文件中默认值为 200h. MajorOperatingSystemVersion MinorOperatingSystemVersion 上面两个域是指运行这个pe文件所需的操作系统的最低版本号.windows95/98和windows nt 4.0 的内部版本号都是 4.0 ,而windows2000的内部版本号是5.0 MajorImageVersion MinorImageVersion 上面两个域是指用户自定义的pe文件的版本号.可以通过连接程序来设置,如: LINK /VERSION:2.0 MyApp.obj一般在升级时使用. MajorSubsystemVersion MinorSubsystemVersion 上面两个域是指运行这个pe文件所要求的子系统的版本号. Win32VersionValue 总是0 SizeOfImage pe文件装入内存后映像的总大小.如果SectionAlignment域和FileAlignment域相等,那么这个值也是pe文件在硬盘上的大小. SizeOfHeaders 从文件开始到节表(包含节表)的总大小.其后是各个区段的数据. PE头结构大小为220H,但是映射到内存中对齐粒度是200H实际上占用400H的空间 CheckSum pe文件的CRC校验和. Subsystem pe文件的用户界面使用的子系统类型.定义如下: #define IMAGE_SUBSYSTEM_UNKNOWN 0 // Unknown subsystem. #define IMAGE_SUBSYSTEM_NATIVE 1 // 不需要子系统一般用在驱动当中。 #define IMAGE_SUBSYSTEM_WINDOWS_GUI 2 // WIN32 console程序一般用在exe文件中 #define IMAGE_SUBSYSTEM_WINDOWS_CUI 3 // WIN32 console程序一开始就会打开一个控制台 #define IMAGE_SUBSYSTEM_OS2_CUI 5 // OS/2格式所以很少用在PE文件中 #define IMAGE_SUBSYSTEM_POSIX_CUI 7 // POSIX console程序 #define IMAGE_SUBSYSTEM_NATIVE_WINDOWS 8 // image is a native Win9x driver. #define IMAGE_SUBSYSTEM_WINDOWS_CE_GUI 9 // Image runs in the Windows CE subsystem. DllCharacteristics 总为0 SizeOfStackReserve 为线程的栈初始保留的虚拟内存的大小,默认为00100000h.如果在调用CreateThread函数时指定堆栈的大小为0,被创建的线程的堆栈的初始大小就与这个值相同. SizeOfStackCommit 为线程的栈初始提交的虚拟内存的大小.微软的连接程序把这个值置为 1000h. SizeOfHeapReserve 为进程的堆保留的虚拟内存的大小.默认值为 00100000h. SizeOfHeapCommit 为进程的堆初始提交的虚拟内存的大小.微软的连接程序把这个值置为1000h. LoaderFlags 通常为0 NumberOfRvaAndSizes 数据目录结构数组的项数,总为 00000010h 这个值定义如下: #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 IMAGE_DATA_DIRECTORY DataDirectory[0x10] 数据目录结构数组 #define IMAGE_DIRECTORY_ENTRY_EXPORT 0 // 导出表 #define IMAGE_DIRECTORY_ENTRY_IMPORT 1 // 导入表 #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // 资源 #define IMAGE_DIRECTORY_ENTRY_EXCEPTION 3 // 异常 #define IMAGE_DIRECTORY_ENTRY_SECURITY 4 // 安全 #define IMAGE_DIRECTORY_ENTRY_BASERELOC 5 // 重定位表 #define IMAGE_DIRECTORY_ENTRY_DEBUG 6 // 调试信息 #define IMAGE_DIRECTORY_ENTRY_COPYRIGHT 7 // (X86 usage) #define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE 7 // 版权信息 #define IMAGE_DIRECTORY_ENTRY_GLOBALPTR 8 // RVA of GP #define IMAGE_DIRECTORY_ENTRY_TLS 9 // TLS Directory #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG 10 // Load Configuration Directory #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT 11 // Bound Import Directory in headers #define IMAGE_DIRECTORY_ENTRY_IAT 12 // 导入函数地址表 #define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT 13 // Delay Load Import Descriptors #define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14 // COM Runtime descriptor typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress;// 相对虚拟地址 DWORD Size; //大小 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;