PE文件格式

Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式主要来自于UNIX操作系统所通用的COFF规范，同时为了保证与旧版本MS-DOS及Windows操作系统的兼容，PE文件格式也保留了MS-DOS中那熟悉的MZ头部。

PE格式，是Win32文件格式，.NET、动态链接库(DLL)、控件(OCX)以及控制面板程序(CPL)，虚拟设备驱动程序(VXD),驱动程序(SYS),均为PE格式

PE文件的开始处是一个MS-DOS可执行体（英语叫“stub”），之后是一个32位的签名以及魔数0x00004550 (IMAGE_NT_SIGNATURE)（十六进制数45和50分别代表ASCII码字母E和P）。

文件头（按COFF格式），用来说明该二进制文件将运行在何种机器之上、分几个区段、链接的时间、是可执行文件还是DLL等可选头，（因为COFF文件格式仅为库文件使用一个“可选头”，却不为目标文件使用一个“可选头”，这就是为什么它被称为“可选”的原因），它会告诉我们该二进制文件怎样被载入的更多信息：开始的地址、保留的堆栈数、数据段的大小等等。

数据目录数组，这些目录包含许多指向各“节”数据的指针。例如：如果一个二进制文件拥有一个输出目录，那么你就会在数组成员“IMAGE_DIRECTORY_ENTRY_EXPORT”（输出目录项）中找到一个指向那个目录的指针，而该指针指向文件中的某节。


    +-------------------+
    | DOS-stub          |    --DOS-头
    +-------------------+
    | file-header       |    --文件头
    +-------------------+
    | optional header   |    --可选头
    |- - - - - - - - - -|
    |                   |
    | data directories  |    --数据目录
    |                   |
    +-------------------+
    |                   |
    | section headers   |     --节头
    |                   |
    +-------------------+
    |                   |
    | section 1         |     --节1
    |                   |
    +-------------------+
    |                   |
    | section 2         |     --节2
    |                   |
    +-------------------+
    |                   |
    | ...               |
    |                   |
    +-------------------+
    |                   |
    | section n         |     --节n
    |                   |
    +-------------------+