PE格式

PE文件
dos兼容头----镜像头基础
----------------------------
未被使用的(木马)
------------------------------
OEM 定义---
OEM信息----+dos段(为dos兼容)
偏移到PE头-
---------------------------------
dos存根诚寻和重定位表->被放在0x3c在编译时
-------------------------------
未被使用
-----------------------------------
PE头(对齐到8位边)
-----------------------------------
区段头
-------------------------------------
镜像页:
>导入信息
>输出信息
>修复信息
>资源信息
>调试信息
-------------------------------------

典型32位exe文件布局

MS COFF头
---------------------
区段头
----------------------
镜像页:
>修复信息
>调试信息
----------------------
signature:PE文件标志在dos存根后为PE\0\0
COFF文件头(obj和镜像文件):在obj文件开头或者signature之后,有一个标准的COFF格式的文件头(区段限制为96之内):
偏移 大小 作用域 描述
0 2 机器 目标机器的数字定义类型,参见机器类型
2 2 区段号 区段表的大小
4 4 时间戳
8 4 符号表指针 该指针的偏移
12 4 符号序列
16 2 选择头的大小
18 2 特征