bcdaren的博客

在正式讲解PE文件格式之前，我们有必要先熟悉和PE相关的一些基本概念，以便于更好的理解和掌握PE文件格式。地址指针数据目录项节对齐方式字符串编码格式。

doc .mp3 .jpg等等都是有文件格式的，我们只需要关心.exe和.dll文件格式，因为.exe和.dll文件是可执行文件格式，其他的文件是不可执行的，不能在CPU上运行的。比如： PE 它是windows下的文件格式，是MZ打头的（4D5A）只有两个字节，后面很大一片就是对这个结构体的管理，比如代码在什么位置，图像在什么位置，文字在什么位置，在前面PE头中都是有记录的。除了默认的PE头之外，每个节区都是有命名的，例如.text节区为代码段，.data节区为数据段，.rsrc节区保存资源。

如图2-8所示：我们可以通过GDTR寄存器找到GDT全局段描述符表，在GDT全局段描述符表中保存LDT1、LDT2、LDT3三个局部段描述符表的段描述符，对应的局部段描述符表的段选择子分别为Selector1、Selector2、Selector3。G=0表示界限粒度为字节（实模式下内存地址空间以字节为单位，20位段界限域可访问的地址空间就是220个字节，1MB大小），G = 1表示界限粒度是4KB（保护模式下，内存地址空间以页为单位，20位段界限域可访问的地址空间就是220*212个字节，4GB大小）。

Windows PE文件（Portable Executable file）是一种可执行文件格式，用于Windows操作系统中的可执行程序、动态链接库（DLL）和驱动程序等。它是一种规范化的文件格式，定义了文件的结构和组织方式，以便操作系统能够正确加载和执行这些文件。PE文件特征和组成初识PE文件。

在Visual Studio中调试时，大部分的功能是借助菜单或按钮实现，而Windbg调试器是建立在命令之上。用户输入一个命令，调试器用文本描述命令执行的结果给出响应。在GUI模式下，一些结果用专门的窗口进行显示，比如局部变量、栈、线程等。正是因为这种调试模式，所以Windbg调试器学习的门槛就要相对高一些，得记这些命令。■。