??? {?
???? ??? //
? ??? ?? // Standard fields.
? ???? ? //
? ????? ?WORD?? Magic;???????????????????
// 總是 0B 01??P: 可選頭的標志?意義是?
???????? BYTE? ? MajorLinkerVersion;?? // 0 鏈接器的主版本號? // P:不同的鏈接器設(shè)置不同,因此不可靠?
???????? BYTE? ? MinorLinkerVersion;?? // 0 鏈接器的小版本號
???????? DWORD? SizeOfCode;?????????? // 0??????????????????????? // 可執(zhí)行的代碼的大小? P: 這里的可執(zhí)行代碼是指整個PE文件的可執(zhí)行代碼段?
???????? DWORD? SizeOfInitializedData;???? // 0????????????????? // 已初始化數(shù)據(jù)的大小 ,數(shù)據(jù)段
???????? DWORD? SizeOfUninitializedData;? // 0????????????????? // 未初始化數(shù)據(jù)的大小, BSS段? P: 已初始化的數(shù)據(jù)跟未初始化的數(shù)據(jù)有什么區(qū)別?它們都在數(shù)據(jù)段?
???????? DWORD? AddressOfEntryPoint;???? //??????????????????? //? 代碼的入口點地址(是一個偏移量,RVA), 如 LibMain, WinMain....
???????? DWORD? BaseOfCode;? // 0?????????????????????????????? //? 可執(zhí)行代碼的偏移量, 代碼基址? P: 不是很懂這里的意思,跟 AddressOfEntryPoint 的區(qū)別是?
???????? DWORD? BaseOfData;? // 0?????????????????????????????? //? 已初始化數(shù)據(jù)偏稱量,數(shù)據(jù)基址? P: 同問
???????
???????? //
? ?????? // NT additional fields.
? ?????? //
? ?????? DWORD? ImageBase;????????? //載入程序的RVA地址,LOADER可以改變 00 00 40 00 == 0x400000
? ?????? DWORD? SectionAlignment;?? //段加載后在內(nèi)存的對齊方式 00 10 00 00
? ?????? DWORD? FileAlignment;???????? //段在文件中的對齊方式????? 00 20 00 00
? ????? ?WORD? ? MajorOperatingSystemVersion;? // 0
? ????? ?WORD? ? MinorOperatingSystemVersion;? // 0
? ????? ?WORD? ? MajorImageVersion;??????????????? //? 0
??????? ?WORD? ? MinorImageVersion;??????????????? //? 0
? ????? ?WORD? ? MajorSubsystemVersion; //子系統(tǒng)版本號如果不是4.0? 對話框不能顯示3D風(fēng)格 04 00
? ????? ?WORD? ? MinorSubsystemVersion; // 0
? ????? ?DWORD? Win32VersionValue;?????? // 0?? P:沒有作用?通常為0
?????????DWORD? SizeOfImage;?????????????? // 映象文件將要使用的內(nèi)存數(shù)量, 如果是按照“SectionAlignment”對齊的,它就是所有頭和節(jié)的長度的總和。它提示加載器,為了載入映象文件需要多少頁。
?????????DWORD? SizeOfHeaders; //給出所有頭的總長度,包括數(shù)據(jù)目錄和節(jié)頭(‘SizeOfHeaders’,“頭的大小”)。同時,它也是從文件的開頭到第一節(jié)的原始數(shù)據(jù)的偏移量。
?????????DWORD? CheckSum;????? // 校驗和,用 0?
??????? ?WORD? ? Subsystem;???? // 子系統(tǒng) 02 00 或03 00 ?
? ????? ?WORD? ? DllCharacteristics;???? // 00
? ????? ?DWORD? SizeOfStackReserve;? // 00
??????? ?DWORD? SizeOfStackCommit;
? ????? ?DWORD? SizeOfHeapReserve;
? ????? ?DWORD? SizeOfHeapCommit;
? ????? ?DWORD? LoaderFlags;???????????? // 00
??????? ?DWORD? NumberOfRvaAndSizes;?
??????
????? ???IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
// 16個結(jié)構(gòu),第二個結(jié)構(gòu)(導(dǎo)入表)?
???? } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
?
???? 1. CheckSum:
???? 這個校驗和,對于當前的NT版本,只在映象文件是NT驅(qū)動程序時才校驗(如果校驗和不正確,驅(qū)動就將裝載失敗)。
???? 對于其他的二進制文件形式,校驗和不需提供并且可能為0。
???? 計算校驗和的算法是微軟的私產(chǎn),他們不會告訴你的。
???? 但是,Win32 SDK的好幾個工具都會計算和/或補正一個有效的校驗和,而且imagehelp.dll中的CheckSumMappedFile()函數(shù)也會做同樣的工作。
???? 使用校驗和的目的是為了防止載入無論如何都會沖突的、已損壞的二進制文件----況且一個沖突的驅(qū)動程序會導(dǎo)致一個BSOD?錯誤,因此最好根本就不載入這樣的壞文件。
????
???? 2. Subsystem
??????? IMAGE_SUBSYSTEM_NATIVE (1)
???????????? 二進制文件不需要子系統(tǒng)。用于驅(qū)動程序。
???????
??????? IMAGE_SUBSYSTEM_WINDOWS_GUI (2)
???????????? 映象文件是一個Win32二進制圖象文件。(它還是能用AllocConsole()打開一個控制臺界面,但在開始時卻不能自動地打開。)
????????????
??????? IMAGE_SUBSYSTEM_WINDOWS_CUI (3)
???????????? 二進制文件是一個Win32控制臺界面二進制文件。(它將在開始時按照缺省值打開一個控制臺,或者繼承其父程序的控制臺。)
??????? IMAGE_SUBSYSTEM_OS2_CUI (5)
????????????? 二進制文件是一個OS/2控制臺界面二進制文件。(OS/2控制臺界面二進制文件是OS/2格式,因此此值在PE文件中很少使用。)
??????? IMAGE_SUBSYSTEM_POSIX_CUI (7)
????????????? 二進制文件使用POSIX?控制臺子系統(tǒng)。
???????
????????Windows 95的二進制文件總是使用Win32子系統(tǒng),因此它的二進制文件的合法值只有2和3;我不知道windows 95的“原”二進制文件是否可能(會有其它值----譯者添加,僅供參考)。
????????????
?????3.? DllCharacteristics
????????? 如果是DLL文件,何時調(diào)用DLL文件的入口點(‘DllCharacteristics’,“DLL特性”)。此值似乎不用;很明顯地,DLL文件總是被通報所有的情況。
?????????如果位0被置1,DLL文件被通知進程附加(亦即DLL載入)。
?????????如果位1被置1,DLL文件被通知線程附加(亦即線程終止)。
?????????如果位2被置1,DLL文件被通知線程附加(亦即線程創(chuàng)建)。
?????????如果位3被置1,DLL文件被通知進程附加(亦即DLL卸載)。
???????? P: 不是很明白這里的意思。????????
?
???? 4. SizeOfStackReserve? 保留棧的大小
???? 5. SizeOfStackCommit?? 初始時指定棧大小
???? 6. SizeOfHeapReserve?? 保留堆的大小
???? 7. SizeOfHeapCommit??? 指定堆大小
?????
???? “保留的”數(shù)量是保留給特定目的的地址空間(不是真正的RAM);
??????在程序開始時,“指定的”數(shù)量是指在RAM中實際分配的大小。
????? 如果需要的話,“指定的”值也是指定的堆或棧用來增加的數(shù)量。(有資料說,不管“SizeOfStackCommit”的值是多少,棧都是按頁增加的。我沒有驗證過。)
????? 因此,舉例來說,如一個程序的保留堆有1 MB,指定堆為64 KB,那么啟動時堆的大小為64 KB,并且保證可以擴大到1 MB。
????? 堆將按64 KB一塊來增加。“堆”在本文中是指主要(缺省)堆。如果它愿意的話,一個進程可創(chuàng)建很多堆。
????? 棧是指第一個線程的棧(啟動main()的那個)。進程可以創(chuàng)建很多線程,每個線程都有自己的棧。
??????DLL文件沒有自己的堆或棧,所以它們的映象文件忽略這些值。我不知道驅(qū)動程序是否有它們自己的堆或棧,但我認為它們沒有。
?????8. ?LoaderFlags 設(shè)置為 0 , P: 作用未知
?
???? 9.
NumberOfRvaAndSizes?
??????? 它是緊隨其后的目錄的有效項的數(shù)目。我已發(fā)現(xiàn)此值不可靠;你也許希望用常量IMAGE_NUMBEROF_DIRECTORY_ENTRIES(映象文件目錄項數(shù)目)來代替它,或者用它們中的較小者。