PE格式简介及相关术语

beyes

PE (Portable Executable) 是 Windows 的可执行文件格式，它使用一个平面地址空间存放所有数据和代码。整个文件内容被分割为不同的 section ，这些 section 中包含代码或数据，且每个 section 都有各自的属性(仅包含代码，仅包含数据，可读可写或只读)。

每个 section 都有其名字，常见的命名有 .rdata, .data, .idata, .text, .rsrc 等，其含义如下：

.rdata	运行时只读数据段
.data	初始化数据段
.idata	包括外来的 DLL 中的函数及数据信息，也称为数据表
.text	代码段，期间内容全部为指令代码
.rsrc	包含全部的资源，如图标，菜单，位图等

PE 格式的一个特点就是磁盘上的数据结构与内存中的结构一致。加载一个可执行到内存主要就是将一个 PE 文件的某一部分映射到内存的地址空间中。这样，磁盘中的结构和内存中的结构就一一对应起来。

PE 文件结构大致如下图所示：


磁盘到内存映射如下所示：


相关术语：

程序入口点(Entry Point)：PE 文件执行时的入口点，即程序执行时的第一行代码。在用 LordPE 查看时，如可以看到一个程序的入口点为 000013A0，映像基地址为 40000000；同时，如果在 ollydbg 调试器里设置“第一次暂停在 WinMain“(调试选项-->事件-->设置第一次暂停于..)，那么当加载可执行文件时，程序会停在 winMain 的第一条指令地址处(push ebp)，这条地址就是 400013A0 。
基地址：当可执行文件被加载到内存中时，被映射的初始地址即为基地址。
虚拟地址：在保护模式下，程序所访问的地址都是虚拟地址。如上面的 400013A0 就是虚拟地址。