PE文件学习笔记（1）

核心提示：Portable Executable 文件格式= PE；1.可移植性（portable ）是因为任何机器（Intel 386 、MipS 、Alpha 、Power PC 等等）上的 NT 都可以使用相同的可执行档格式，当然啦，PE文件学习笔记（1），CPU 指令的二进制编码是完全不同的，你不可能把一个在 MIPS

Portable Executable 文件格式= PE；

1.可移植性（portable ）是因
　为任何机器（Intel 386 、MipS 、Alpha 、Power PC 等等）上的 NT 都可以使用相同的可
　执行档格式。当然啦，CPU 指令的二进制编码是完全不同的，你不可能把一个在 MIPS 机
　器编译好的 PE 文件拿到 Intel 系统来跑。重要的是，程序加载器以及程序开发工具不需
　要针对每一个新的操作系统重写。

2. 磁盘中的可执行文件格式非常类似内存中的模块。因此 Windows 加载器无须非常辛苦地工作就能根据磁盘文件产生一个
　行程。加载器使用 Win32 内存映像档，把适当的 PE 文件加载程序的地址空间中。
　以建筑学的方式来说，PE 档就像是一栋预先制造组合配件的房屋：配件不多，每一个配
　件可以啪答一声就定位 -- 只要经过一些些努力。并且，就像组合屋很容易接上电路和水
　管一样，PE 档也很容易与外界产生关系
3.win32用来放置模块的码、资料、资源、import tables 、export tables 、以
　及其它东西的内存，是位于一块连续的线性地址空间中。所有你需要知道的，就是这
　个地址在哪里。然后你就可以轻轻松松根据储存在这个 "image"中的指针，找
　到模块的每一样资料。
4.相对虚拟地址（Relative Virtual
　 Address ，RVA ）。PE 文件中的许多字段内容都是以 RVA 表示。一个 RVA 是某一资
　料项的 offset （偏移）值 -- 从文件被映像进来的起点算起。

　由此想到从前看过的许多相关PE文件解析数据提取资料，总是对其中的减来减去莫名其妙，

　如今豁然开朗

5.PE文件格式如下，和以往看过资料相比，这个是倒着的，只不过都是后人整理的习惯都，将

结构倒置，不过文件的头还确实放在了下面然后向上线性排列



本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/zhangweishuang/archive/2009/12/27/5087283.aspx