图解用工具对PE文件格式做初步研究

工具：

PETool，MiniHex，PEViewer

以本机notepad.exe为研究对象。本机64位，该notepad.exe是64位应用程序。

1 用peviewer打开

PE文件大体包括四部分，DOS头，NT头，节表以及具体的节。下图展示的是前三部分。

2 DOS头

e_magic：一个WORD类型，值是一个常数0x4D5A，用文本编辑器查看该值位‘MZ’，可执行文件必须都是'MZ'开头。

e_lfanew：为32位可执行文件扩展的域，用来表示DOS头之后的NT头相对文件起始地址的偏移。

看下图左方给出的e_lfanew为0x000000E8，在下图右方找到此地址，如右方000000E0所示行的光标处；

起始四个字节是50 45 00 00，和右图的PE头的Signature相符合；

3 文件头

PE文件头的定义：

typedef struct _IMAGE_FILE_HEADER {  
    WORD    Machine;  
    WORD    NumberOfSections;  
    DWORD   TimeDateStamp;  
    DWORD   PointerToSymbolTable;  
    DWORD   NumberOfSymbols;  
    WORD    SizeOfOptionalHeader;  
    WORD    Characteristics;  
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;  

Machine：该文件的运行平台，是x86、x64还是I64等等，可以是下面值里的某一个。
NumberOfSections：该PE文件中有多少个节，也就是节表中的项数。
TimeDateStamp：PE文件的创建时间，一般有连接器填写。

对照下图左方显示和右方光标处，其内容相符合；

4 导入表

自己算下导入表的起始地址，比较难算；用工具看下，如下图；导入表起始地址是

0x00000178

peviewer给出的导入表内容；

看16进制文件中的00000178，与peviewer给出的似乎不符，不过此处还不太理解；

16进制文件和PETool给出的内容是相符合的；

5 导入表中的函数名

试着找下导入的SetWindowText函数的名字在16进制文件中的位置；

什么是Thunk RVA，对相关计算尚不太熟悉;

直接找到0000D640处看看，不是SetWindowText；

用搜索功能找SetWindowText；在如下位置；这个RVA的计算是比较复杂；以后再搞；

链接

http://www.pediy.com/kssd/tutorial/chap8-1-6.htm
http://blog.csdn.net/evileagle/article/details/11693499