本文的目的是编写解析器，故本文叙述的PE细节不像其他文章那么详细，想学习更加详细的解析可以翻到文本最后的参考文章

头部分分为5部分：

Dos部分为兼容古老的DOS 16位系统，目前来说用处已经不大，整体结构在winnt.h中定义为：

目前只用到两个参数，一个是e_magic，该参数为整个PE文件的开头部分，可用于区别ELF和PE

在PE中，一般表现为0x5A4D，字符串表现为MZ：

ELF文件中，表现为：

第二个使用到的参数为DOS Header中的最后一个参数e_lfanew，该参数用来指向exe文件的开始位置，也就是

第二部分Nt Header的位置从Dos Header 到 Nt Header中间空出来的部分数据可以理解为历史残留，都是一些脏数据，一般都会有这样一段话：This program cannot be run in DOS mode

Nt Header 结构体(winnt.h)

Nt Header的开头为一个Signature，该值通过宏进行定义为PE文件的固定值，不受32位或者64位影响：

File Header 结构体(winnt.h)

这里用到的参数就比较多了，首先是Machine，在wint.h中定义了宏，目前常见的应该只有IMAGE_FILE_MACHINE_I38632位程序和IMAGE_FILE_MACHINE_AMD6464位程序

可用来区分Windows 下的32位程序和64位程序：

第二个是NumberOfSections，就是节的数量，关于节遍历时需要用到，还有对于节的增加和合并时需要对该参数的值进行修改

第三个是SizeOfOptionalHeader，关于可选PE头的大小，默认情况下，32位程序该值为E0，64位程序该值为F0

最后一个参数Characteristic可以理解为操作权限

Optional Header 结构体(winnt.h)

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16

pe32:

pe64:

通过对比可以发现在32位的Optional Header中多了一个DWORD BaseOfData

在不做修改的情况下，OptionalHeader的长度是固定的，所以32位程序在File Header中的SizeOfOptionalHeader为0xE8，而64位程序的SizeOfOptionalHeader为0xF0，通过上图也可以看出在ImageBase，SIzeOfStackReserve，SizeOfStackeCommit，SizeOfHeapReserve, SizeOfHeapCommit这五个参数中，64位程序的参数长度为ULONGLONG，就是8字节QDWORD，加上少掉的一个DWORD，刚好默认情况下64位程序的OptionalHeader比32位的多0x04*5-0x04=16个字节

在OptionalHeader的开头Magic参数会再一次显示32位和64位的区别：

在winnt.h中也定义了相关的宏：

所以总结之后可以得到区分32位和64位程序的方式：

OptionalHeader中会用到的参数：

OptionalHeader中解析到的OEP为相对偏移并且这个偏移应该是内存对齐后的偏移

载入x32dbg查看，此时发现OEP的地址为A80233，这时候就要提到ImageBase了，可以看到在OptionalHeader中的ImageBase为0x400000，但是程序此时的ImageBase为0xA80233 - 0x10233 = 0xA70000，这个原因是OptionalHeader中解析到的ImageBase为理想状况下的，内存的地址是连续，0x40000只有一个，所以有且只有一个程序可以刚好分配到0x40000作为镜像基址，那么其他程序怎么办，这时候就会产生一个重定位的情况，这个后面会说到，总之，当程序载入内存时，相对偏移是不会变的，会发生变化的是镜像基址，当然这里指的相对偏移，是指内存对齐后的相对偏移，在PE解析中，存在着文件对齐的情况，特别是该程序中，文件对齐与内存对齐是不一致的，所以当程序从FileBuffer加载到内存成为ImageBuffer后，需要对程序进行拉伸，对齐成内存对齐，那么相应的某些本身处于文件对齐的地址，就需要通过转化，转换成内存对齐地址

SizeOfImage：经过内存对齐后整个镜像大小

SizeOfCode：文件对齐下镜像大小

SizeOfHeaders: 头+节表文件对齐下的大小

BaseOfCode: 内存对齐下代码的开始（一般为SectionAlignment的整数倍）

BaseOfData：内存对齐下数据段的开始（一般为SectionAlignment的整数倍）

SectionHeader(winnt.h):

节表是整个PE文件最重要的一部分，因为只有通过他进行内存地址的转化，以及各种节都是通过节表进行索引，

Name：一个Char数组，用来存储节名

Misc：这是一个union联合体，具体的含义这里不作解释，一般表现为VirtualSize，或者直接把它当作VirtualSize也行，这里指的是每个节的未对齐大小

VirtualAddress：指的是内存对齐后节的开始地址，这里也是一个相对地址

SizeOfRawData：指的是进行文件对齐后的节大小

在该文件中，FileAlignment（文件对齐）的大小为0x200，所以这里RawSize就会对齐为0x200的整数倍

PointerToRawData：文件对齐后该节的起始地址

PointerToRelocations\PointerToLinenumbers\NumberOfRelocations\NumberOfLinenumbers，暂时用不到：

Characteristics：为每个节的权限

​

Data Directory位于Optional Header，结构体(winnt.h):

在Optional中该结构体数组数量为16个：#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16

各个表的序号：

该结构体中的Size不影响对于各个表的解析，影响表的解析是VirtualAddress

前面4个参数可以不用管，重点在后面的6个参数：

PE文件中函数导出有两种方式：

AddressOfFunctions指向的是一张导出函数表，而NumberOfFunctions是这张表的长度

AddressOfNames指向的是导出函数名称表，NumberOfNames是该表的长度

AddressOfNameOrdinals指向的是导出函数的序号表

这里需要注意导出函数表和其余两张表的长度是不一定相同的，而AddressOfNames和AddressOfNameOrdinals指向的表的长度是一样长度

注意Ordinals序号表中，序号为偏移值，真的序号应该是要加上导出表中的Base参数的值，作为起始序号：

例：DWORD base = 10；

NameOrdinals Table：

那么真正的序号应该为：

当导出表的DataDirectory中的VirtualAddress为0时，说明该PE文件不存在导出函数，当然这个可以人为修改，在PE解析中需要通过该VirtualAddress找到导出表存储的位置，如果该值为0，则无法找到

函数名称表AddressOfNames和函数序号表AddressOfNameOrdinals的数量是一样的，当某个函数在导出时写了NoName不以名称导出时，那么此时导出函数序号表中也不会有该函数的函数序号

通过函数名称找函数地址的步骤：

通过函数序号找函数地址的步骤：

通过对比两种方式的索引可以发现，通过函数序号找函数地址的时候根本不需要用到AddressOfNameOrdinals，Ordinals是跟Names绑定的一张表，所以才会发现这两张表的成员数量是相同的

通过DataDirectory索引到的VirtuallAddress为导入表的描述符，Name为该导入dll的名称，为偏移量，这里所有的描述符的值都可以理解为偏移，偏移到的是真正存储的位置，这里通过ForwarderChain来确定是否是最后一张导入表描述符，通过，如果该值为-1，则说明该描述符为最后一个导入表描述符

INT：Import Name Table，根据名称找函数

IAT：Import Address Table，根据地址找函数

文件加载前：

OriginalFirstThunk指向的是INT表，INT表中就会涉及到新的结构体：IMAGE_THUNK_DATA，该结构体同样是属于偏移，所以会区分32位和64位

FirstThunk指向的IAT表，IAT表中的结构体跟INT表中的结构体完全相同（ps：文件加载前）

其原因跟THUNK结构体中的类型有关，可以看到该结构体实际上内部是一个union包着4个参数，长度为DWORD，只需要看后面两个，Ordinal和AddressOfData

在程序加载前，对于每个导入表的导出函数而言，是无法知道其是否可以通过函数名称进行查找的，所以此时才有了INT和IAT

查找IAT表有两种办法，一个是通过DataDirectory[13]，第二个是通过导入表中的FirstThunk偏移找到IAT表的起始位置

文件加载后：

INT中的数据不变，IAT中的值替换成函数地址，函数地址通过INT或者IAT进行替换

在查找时，如果文件不存在

重定位表关乎到程序能否正常运行，该表的解析很有意思

通过Data Directory[IMAGE_DIRECTORY_ENTRY_BASERELOC]定位到第一张表的指针位置，同样需要通过RVAToRAW拿到文件中存放该表的位置

Relocation结构体：

既然是表，就说明不止有这一个结构体，这里的索引也是同样的，通过当前的指针来索引下一个表的位置，最后通过结构体全0来判断该表的结束：

SizeOfBlock表明指向的Relocation结构体的实际大小，该大小是包括已知两个参数的大小：所以实际的大小应该为SizeOfBlock - 8，在32位程序中，块大小为2的12次方，也就是4096，所以只需要12位就可以遍历整个块，根据字节对齐需要，编译器对程序进行分配时不会直接分12位，而是会分16位，也就是2个字节，所以对于该2字节，低12位为偏移，高4位为填充，当高4位的值为3时，说明该地址需要被重定位，如果为其他值，则说明该2字节的值可作为填充数据处理

打印结果：

通过这几张表的解析也可以发现PE的特点，由于程序的大小不确定，所以无法静态or动态的分配空间给各种表，所以通过自索引的方式来实现表的遍历，实现了程序的可扩展性，这确实是一种好的方式，这个结构的优点也一直延续至今

该表分成三层进行解析

First Layer：

第一层为资源样式，最后两个参数之和决定资源数：

DWORD resourceNum = NumberOfNamedEntries + NumberOfIdEntries

在该结构体后紧跟的就是第二层，resourceNum决定后面跟着多少个_IMAGE_RESOURCE_DIRECTORY_ENTRY

PIMAGE_RESOURCE_DIRECTORY_ENTRY = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(PIMAGE_RESOURCE_DIRECTORY + 1)

该结构体为两个2联合体，第一个union中的NameIsString表示该资源是否通过字符串进行索引，该值为1时说明通过字符串进行索引，说明该资源为开发者资源，该值为0说明通过Id进行索引，说明该资源为系统资源，第二个union中的DataIsDirectory表示该数据是否是一个目录，值为1说明该数据为目录

Windows预定义了一些资源，位于winuser.h，一般只用到前面的11个资源，预定义的资源都是通过ID进行索引

关于资源表的结构可以理解为资源管理器，在文件夹中即可以创建文件也可以创建文件夹，所以在解析该结构的时候可以通过递归去做解析

[1]PE整体结构体：https://docs.microsoft.com/en-us/windows/win32/debug/pe-format

[2]资源表解析：https://www.cnblogs.com/iBinary/p/7712932.html

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)