紧接着IMAGE_FILE_HEADER结构的是IMAGE_OPTIONAL_HEADER32结构,这个结构称为可选头, 其中定义了很多重要的信息,可选头的结构如下所示:
Code
IMAGE_OPTIONAL_HEADER32 STRUCT Magic WORD ? ; 107h=ROM Image,10Bh=exe Image MajorLinkerVersion BYTE ? ; 链接器版本号 MinorLinkerVersion BYTE ? ; SizeOfCode DWORD ? ; 所有含代码的节的总大小 SizeOfInitializedData DWORD? ; 所有含已初始化数据的节的总大小 SizeOfUninitializedData DWORD ? ; 所有含未初始化数据的节的大小 AddressOfEntryPoint DWORD ? ;程序执行入口RVA BaseOfCode DWORD ? ;代码的节的起始RVA BaseOfData DWORD ? ;数据的节的起始RVA ImageBase DWORD ? ;程序的建议装载地址 SectionAlignment DWORD ? ;内存中的节的对齐粒度 FileAlignment DWORD ? ;文件中的节的对齐粒度 MajorOperatingSystemVersion WORD ? ;操作系统主版本号 MinorOperatingSystemVersion WORD ? ;操作系统副版本号 MajorImageVersion WORD ? ;可运行于操作系统的最小版本号 MinorImageVersion WORD ? ; MajorSubsystemVersion WORD ?;可运行于操作系统的最小子版本号 MinorSubsystemVersion WORD ? ; Win32VersionValue DWORD ? ;未用 SizeOfImage DWORD ? ;内存中整个PE映像尺寸 SizeOfHeaders DWORD ? ;所有头+节表的大小 CheckSum DWORD ? ; Subsystem WORD ? ;文件的子系统 DllCharacteristics WORD ? ; SizeOfStackReserve DWORD ? ;初始化时的堆栈大小 SizeOfStackCommit DWORD ? ;初始化时实际提交的堆栈大小 SizeOfHeapReserve DWORD ? ;初始化时保留的堆大小 SizeOfHeapCommit DWORD ? ;初始化时实际提交的堆大小 LoaderFlags DWORD ? ;未用 NumberOfRvaAndSizes DWORD ? ;下面的数据目录结构的数量 DataDirectory IMAGE_DATA_DIRECTORY 16 dup(<>) ;IMAGE_OPTIONAL_HEADER32 ENDS
这个结构中重要的元素有如下几个:
AddressOfEntryPoint:指出了可执行代码入口点在内存中的偏移(RVA),这个偏移是相对文件本装入内存以后此入口点相对文件头的偏移,由于PE文件在磁盘中和在内存中的对齐粒度不一样,一般情况下文件在内存中的对齐力度是1000h,而在磁盘中的对齐粒度是200h,也就是说文件在内存中占用的空间一般会大于在文件中占用的空间,所以导致可执行代码入口点的偏移在内存中和在磁盘中不同。
ImageBase:文件优先装入地址,对exe文件来说为400000h,对dll一般为10000000h,且一般情况下对exe文件不需要重定位文件在内存中位置,即文件优先装入地址为ImageBase地址,而dll很难满足。
SectionAlignment:文件在内存中的对齐粒度,即每个节在内存中的装入地址必须是本值的整数倍,值一般为1000h
FileAlignment:文件在磁盘中的对齐粒度,意义同SectionAlignment,值一般为200h
Subsystem:对windows下应用程序来说,如果程序是图形界面,其值为2,如果是控制台程序,值为3
DataDirectory:由16个IMAGE_DATA_DIRECTORY结构组成,用来定义不同用途的数据块在内存中的偏移和大小
2123
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
