介紹

PE檔案是windows作業系統的可執行檔案格式（包括.exe、.scr、.dll、.sys、.obj等檔案），PE檔案指32位的可執行檔案，也稱為PE32。64位可執行檔案稱為PE+或PE32+,是PE32檔案的一種擴充套件形式。

基本結構

PE檔案包含PE頭與PE體，研究PE檔案格式，就是研究構成PE頭的結構體。
PE頭包含的基本結構如下：

1.DOS頭
2.DOS存根
3.NT頭
4.節區頭（sectionHeader）

PE頭中一些重要的資訊

NT頭：可選頭（IMAGE_OPTIONAL_HEADER32）

1.AddressOfEntryPoint : EP的RVA值，程式最先執行的程式碼起始地址。
2.DataDirectory:IMAGE_DATA_DIRECTORY結構體陣列

DataDirectory[0]:EXPORT Directory 匯出表(EDT)的RVA地址
DataDirectory[1]:IMPORT Directory 匯入表(IAT)的RVA地址
DataDirectory[9]:TLS Directory

IAT

IMAGE_IMPORT_DESCRIPTOR 結構體描述PE裝載時的必須資訊。每一個dll對應一個IMAGE_IMPORT_DESCRIPTOR 結構體，結構體的結構如下：

OriginalFirstThunk; //INT(Import Name Table) address(RVA)
TimeDateStamp;
ForwarderChain;
Name;//the name(string) of the dll
FirstThunk;//IAT(Import Address Table) address (RVA)

以裝載kernel32.dll為例，PE裝載器將匯入函式輸入至IAT的流程：

1.讀取IID的Name，獲取到庫名稱(“kernel32.dll”)
2.裝載庫（LoadLibrary(“kernel32.dll”)）
3.讀取IID的OriginalFirstThunk成員，獲取INT地址
4.逐一讀取INT中的函式名地址
5.通過函式名地址獲取到函式名（eg.GetCurrentThreadId）,獲取函式的起始地址：GetProcAddress(“GetCurrentThreadId”)
6.讀取IID的FirstThunk，獲取IAT地址；
7.將函式地址填入到IAT項
8.重複4-7，直到INT結束

EAT

IMAGE_EXPORT_DIRECTORY 結構體描述PE檔案的EAT資訊，一個PE檔案只包含一個IMAGE_EXPORT_DIRECTORY結構體。其結構如下：

NumberOfFunctions // Export函式的個數
NumberOfNames //Export函式中具名的函式個數
AddressOfFunctions // Export函式地址陣列
AddressOfNames // 函式名稱地址陣列
AddressOfNameOrdinals // Ordinal地址陣列

注：AddressOfFunctions與AddressOfNames的下標一般不互相對應， Ordinal地址陣列是它們下標之間的對映。