PE文件的装载过程（1）

Windows下的可执行文件为PE（Portable Executable File Format/可移植的执行体）格式，文件的组织形式还是比较复杂的，花了大概一个星期的时间终于稍微弄懂了PE文件的装载过程。

PE文件最开始的部分称为DOS头，存在的作用是为了兼容DOS下的可执行程序，DOS头的结构如下：



Code
IMAGE_DOS_HEADER STRUCT

e_magic WORD ? ；DOS可执行文件标记，为“MZ”

e_cblp WORD ?

e_cp WORD ?

e_crlc WORD ?

e_cparhdr WORD ?

e_minalloc WORD ?

e_maxalloc WORD ?

e_ss WORD ? ；DOS代码的初始化堆栈段

e_sp WORD ? ；DOS代码的初始化堆栈指针

e_csum WORD ?

e_ip WORD ? ；DOS代码的入口IP

e_cs WORD ? ；DOS代码的入口CS

e_lfarlc WORD ?

e_ovno WORD ?

e_res WORD 4 dup(?)

e_oemid WORD ?

e_oeminfo WORD ?

e_res2 WORD 10 dup(?)

e_lfanew DWORD ? ；指向PE文件头

IMAGE_DOS_HEADER ENDS


可以看到，这个结构总共占用的空间为32个WORD，64个字节，64×8个bit，也就是说每个PE文件的DOS头都同样地占用64个字节的空间，这个结构中比较重要的元素有两个，一是开始部分的e_magic，为DOS可执行文件的标志，翻译成ASCII即为字符“MZ”，另外一个是结构的最后一个元素e_lfanew，为一个双字，为PE文件头相对于本文件开始处的偏移量，也可以认为是PE文件头在本文件中的开始地址，如e_lfanew的值为2801h，而这个值在PE文件中的保存地址为3ch和3dh，但是e_lfanew的真实值并不是2801h，而是0128h，因为在x86体系中高地址存放高位的数据，低地址存放低位数据，所以e_lfanew的真实值应该颠倒一下。

操作系统装载PE文件的时候首先检查“MZ”标志，然后读取e_lfanew的值，如上例所示，为128h，然后装载程序会到PE文件的128h处读取数据，如果是PE文件的话，128h和129h处的内容一定为50h和45h，翻译成ASCII即为字符“PE”，此处即为PE文件头的开始。


http://www.zeroplace.cn/article.asp?id=281
PE文件的装载过程（1）
http://www.zeroplace.cn/article.asp?id=282
PE文件的装载过程（2）
http://www.zeroplace.cn/article.asp?id=283
PE文件的装载过程（3）
http://www.zeroplace.cn/article.asp?id=284
PE文件的装载过程（4）

文章来自: 本站原创
Tags: