PE文件结构详解（DOS头/NT头/节表/导入表）使用010 Editor手动解析notepad++.exe的PE结构

一：DOS部分

DOS部分分为DOS MZ文件头和DOS块，其中DOS MZ头实际是一个64位的IMAGE_DOS——HEADER结构体。

DOS MZ头部结构体的内容如下，我们所需要关注的是前面两个字节（e_magic）和后面四个字节（e_lfanew）

typedef struct _IMAGE_DOS_HEADER
{
    WORD   e_magic;       // DOS头的标识  "MZ"  4Dh  5Ah（2个字节）      #define IMAGE_DOS_SIGNATURE  0x5A4D
    WORD   e_cblp;        // 文件最后一页中的字节数
    WORD   e_cp;          // 文件中的全部页数
    WORD   e_crlc;        // 重定位表中的指针数
    WORD   e_cparhdr;     // 头部尺寸，以段落为单位
    WORD   e_minalloc;    // 所需的最小附加段  
    WORD   e_maxalloc;    // 所需的最大附加段  
    WORD   e_ss;          // 初始的SS值（相对偏移量）
    WORD   e_sp;          // 初始的SP值
    WORD   e_csum;        // 补码校验值
    WORD   e_ip;          // 初始的IP值   
    WORD   e_cs;          // 初始的CS值
    WORD   e_lfarlc;      // 重定位表的字节偏移量 
    WORD   e_ovno;        // 覆盖号
    WORD   e_res[4];      // 保留字
    WORD   e_oemid;       // OEM 标识符（相对e_oeminfo） 
    WORD   e_oeminfo;     // OEM 信息
    WORD   e_res2[10];    // 保留字
    // DosHeader + 0x3C 正好定位到e_lfanew
    LONG    e_lfanew;     // NT头相对于文件起始地址的偏移, 4字节, 指示NT头的位置
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

二、PE文件头

PE文件头可以分为三个部分，分别为PE标识、标准PE头、扩展PE头，结构体内容如下所示

typedef struct _IMAGE_NT_HEADERS {
 DWORD Signature; ``// PE标识--4字节
 IMAGE_FILE_HEADER FileHeader; ``// 标准PE头--20字节
 IMAGE_OPTIONAL_HEADER32 OptionalHeader; ``// 扩展PE头--224字节/240字节
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

现在我们详细解释一下标准PE头，标准PE头的结构体如下：

typedef struct _IMAGE_FILE_HEADER
{
    WORD Machine;                //PE文件运行的平台，值为IMAGE_FILE_MACHINE_I386(0x14c)表示是x86处理器，
                                 //IMAGE_FILE_MACHINE_AMD64(0x8664)或IMAGE_FILE_MACHINE_IA64(0x200)表示是x64处理器。
    WORD NumberOfSections;       //文件中存在的节的个数，如果想在PE文件中增加或删除节，必须变更此处的值
    DWORD TimeDateStamp;         //创建此文件时的时间戳
    DWORD PointerToSymbolTable;  //COFF符号表的文件偏移，对于映像文件来说，此值为0
    DWORD NumberOfSymbols;       //符号表中元素的数目，对于映像文件来说，此值为0
    WORD SizeOfOptionalHeader;   //可选头的大小，32位下默认为00E0h，64位下默认为00F0h
    WORD Characteristics;        //文件属性标志，exe一般是010fh，dll一般是210eh
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

现在我们得到：

那什么是PE文件属性呢，现在我们知道PE文件属性的十六进制值是00 22（倒序读取），那么可以得到二进制是0001 0110

对应下面的表，也就是第1位、第二位和第四位对应数字为1得到的属性值

对于扩展PE头，大小有标准PE头的SizeOfOptionalHeader决定，就是00F0

三、节表

每个节表的固定大小是40字节，节表不止一个，可能有多个，节表的数量是标准PE头中的NumberOfSections属性决定的，虽然节表有多个，但是每个节表中的结构是相同的。

根据上面的标准头解析，可以看到是六个节表（00 06），每个节表大小是40字节，一共是240字节，如下图

每个节表的最后四个字节是属性，这里是60 00 00 20，可以得到二进制是0110 0000 0000 0000 0000 0000 0010 0000

那么就可以得到：

利用工具打开，可以发现是六个节表

以下是节表的基本结构

typedef struct _IMAGE_SECTION_HEADER {
0x00 BYTE Name[IMAGE_SIZEOF_SHORT_NAME];     //00 00 00 74 78 65 74 2E 8字节，节表的名字，一般情况下"\0"来结束，内容可以自己定义
union {  
	0x08 DWORD PhysicalAddress; 
	0x08 DWORD VirtualSize;                    
} Misc;                                      //00 01 80 6C   双字，是该节在没有对齐前的真是尺寸，内容可以不准确
0x0c DWORD VirtualAddress;                   //00 00 10 00   节区在内存中的偏移地址
0x10 DWORD SizeOfRawData;                    //00 01 82 00   节在文件中对齐后的尺寸
0x14 DWORD PointerToRawData;                 //00 00 04 00   节区在文件中的偏移
0x18 DWORD PointerToRelocations;             //00 00 00 00   在exe文件中无意义
0x1c DWORD PointerToLinenumbers;             //00 00 00 00   在exe文件中无意义
0x20 WORD NumberOfRelocations;               //00 00         在exe文件中无意义
0x22 WORD NumberOfLinenumbers;               //00 00         该节在行号表中的行号数
0x24 DWORD Characteristics;                  //60 00 00 20   节的属性
};

 四、节数据

查看区段：

我们需要的是节区在文件中的偏移，就是在20字节之后的00000400，节区的大小是在16字节之后的，也就是0046FE00

 也就是00000400之后的数据：

以上就是最基本的PE文件结构了。