C++應用程式在Windows下的編譯、連結：第二部分COFF/PE檔案結構

Dumpbin /all DemoMath.obj >DemoMath.txt

Dump of file demomath.obj

File Type: COFF OBJECT                                //表示該檔案格式為COFF格式

FILE HEADER VALUES                                 //以下依次是檔案頭中各項的值

             14C machine (x86)                      //魔數

              20 number of sections                  //段的數量

        519AFB7E time date stamp Tue May 21 12:43:42 2013   //建立時間

            288A file pointer to symbol table           //符號表的位置

              83 number of symbols                 //符號的數量

               0 size of optional header              //可選頭的大小

               0 characteristics                     //檔案屬性標記。零表示有重定位資訊，有符號表，有行號，不可執行，具體解釋可見“Characteristics欄位的取值情況表”的描述。

typedef struct _IMAGE_FILE_HEADER

{

    WORD    Machine;

    WORD    NumberOfSections;

    DWORD   TimeDateStamp;

    DWORD   PointerToSymbolTable;

    DWORD   NumberOfSymbols;

    WORD    SizeOfOptionalHeader;

    WORD    Characteristics;

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

#define IMAGE_SIZEOF_FILE_HEADER             20        //檔案頭的大小

欄位名稱

型別

描述

Machine

Word

魔法數字，在i386平臺中，該值為0x014c。這是一個平臺的標識。

NumberOfSections

Word

段的數量。段表的大小由它確定。

段表的大小 =  Sizeof(IMAGE_SECTION_HEADER)

 * NumberOfSections

TimeDateStamp

Dword

該欄位是一個時間戳，用來記錄COFF檔案建立的時間。當COFF檔案作為一個可執行檔案的時候，該值被用來當作加密用的比對標識。

PointerToSymbolTable

Dword

符號表在檔案中的偏移量，該偏移量從檔案的零位置為基準。使用該值可以確定符號表的第一個位元組的位置。

NumberOfSymbols

Dword

符號表中符號的個數。

SizeOfOptionalHeader

Word

可選頭的大小。通常為零。通過此值可定位段表。

Characteristics

Word

檔案的屬性標記，它標記了檔案的型別，以及檔案中所儲存的資料的資訊。該標記的詳細說明見下表。

名稱

值

說明

F_RELFLG

0x0001

無重定位資訊標記。值為1表示無重定位資訊。在目標檔案中，該值為1，可執行檔案中，該值為零。

F_EXEC

0x0002

可執行標記。值為2表示該檔案中所有符號都已經被解析完畢，可以被執行。在目標檔案中，該值為零。

F_LNNO

0x0004

無行號標記。值為4表示該檔案中沒有行號表

F_LSYMS

0x0008

無符號標記。值為8表示該檔案中沒有符號表

F_AR32WR

0x0100

該標記指出檔案是 32 位的 Little-Endian COFF 檔案。

SECTION HEADER #9

   .text name                     //段表資訊的內容

       0 physical address

       0 virtual address

      2A size of raw data

    16B0 file pointer to raw data (000016B0 to 000016D9)

    16DA file pointer to relocation table

       0 file pointer to line numbers

       1 number of relocations

       0 number of line numbers

60501020 flags

         Code

         COMDAT; sym= "int __cdecl GetOperTimes(void)" (?GetOperTimes@@YAHXZ)

         16 byte align

         Execute Read

RAW DATA #9                      //段的二進位制資料

  00000000: 55 8B EC 81 EC C0 00 00 00 53 56 57 8D BD 40 FF  U.ì.ìà...SVW.?@?

  00000010: FF FF B9 30 00 00 00 B8 CC CC CC CC F3 AB A1 00  ??10...?ììììó??.

  00000020: 00 00 00 5F 5E 5B 8B E5 5D C3                    ..._^[.?]?

RELOCATIONS #9                   //段的重定位資訊

                                                Symbol    Symbol

 Offset    Type              Applied To         Index     Name

 --------  ----------------  -----------------  --------  ------

 0000001F  DIR32                      00000000         F  ?nOperTimes@@3HA (int nOperTimes)

#define IMAGE_SIZEOF_SHORT_NAME              8

typedef struct _IMAGE_SECTION_HEADER

{

    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];

union

{

            DWORD   PhysicalAddress;

            DWORD   VirtualSize;

    } Misc;

    DWORD   VirtualAddress;

    DWORD   SizeOfRawData;

    DWORD   PointerToRawData;

    DWORD   PointerToRelocations;

    DWORD   PointerToLinenumbers;

    WORD    NumberOfRelocations;

    WORD    NumberOfLinenumbers;

    DWORD   Characteristics;

} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

#define IMAGE_SIZEOF_SECTION_HEADER          40

欄位名稱

型別

描述

Name

BYTE

節的ASCII名稱。節名不保證一定是以NULL結尾的。如果你指定了長於8個字元的節名，連結器會把它截短為8個字元。在OBJ檔案中存在一個機制允許更長的節名。節名通常以一個句點開始，但這並不是必須的。節名中有一個“$”時連結器會對之進行特殊處理。前面帶有“$”的相同名字的節將會被合併。合併的順序是按照“$”後面字元的字母順序進行合併的

PhysicalAddress

DWORD

VirtualSize

DWORD

指出實際被使用的節的大小。這個域的值可以大於或小於SizeOfRawData域的值。如果VirtualSize的值大，SizeOfRawData就是可執行檔案中已初始化資料的大小，剩下的位元組用0填充。在OBJ檔案中這個域被設為0。

VirtualAddress

DWORD

在可執行檔案中，是節被載入到記憶體中後的RVA。在OBJ檔案中應該被設為0

SizeOfRawData

DWORD

在可執行檔案或OBJ檔案中該節所佔用的位元組大小。對於可執行檔案，這個值必須是PE頭中給出的檔案對齊值的倍數。如果是0，則說明這個節中的資料是未初始的。

PointerToRawData

DWORD

節在磁碟檔案中的偏移。對於可執行檔案，這個值必須是PE頭部給出的檔案對齊值的倍數。

PointerToRelocations

DWORD

節的重定位資料的檔案偏移。只用於OBJ檔案，在可執行檔案中被設為0。對於OBJ檔案，如果這個域的值不為0的話，它就指向一個IMAGE_RELOCATION結構陣列。

PointerToLinenumbers

DWORD

節的COFF樣式行號的檔案偏移。如果非0，則指向一個IMAGE_LINENUMBER結構陣列。只在COFF行號被生成時使用。

NumberOfRelocations

WORD

PointerToRelocations 指向的重定位的數目。在可執行檔案中應該是0。

NumberOfLinenumbers

WORD

NumberOfRelocations 域指向的行號的數目。只在COFF行號被生成時使用。

Characteristics

WORD

被或到一起的一些標記，用來表示節的屬性。這些標記中很多都可以通過連結器選項/SECTION來設定。

值

描述

IMAGE_SCN_CNT_CODE

節中包含程式碼。

IMAGE_SCN_MEM_EXECUTE

節是可執行的。

IMAGE_SCN_CNT_INITIALIZED_DATA

節中包含已初始化資料。

IMAGE_SCN_CNT_UNINITIALIZED_DATA

節中包含未初始化資料。

IMAGE_SCN_MEM_DISCARDABLE

節可被丟棄。用於儲存連結器使用的一些資訊，包括.debug$節。

IMAGE_SCN_MEM_NOT_PAGED

節不可被頁交換，因此它總是存在於實體記憶體中。經常用於核心模式的驅動程式。

IMAGE_SCN_MEM_SHARED

包含節的資料的實體記憶體頁在所有用到這個可執行體的程式之間共享。因此，每個程式看到這個節中的資料值都是完全一樣的。這對一個程式的所有例項之間共享全域性變數很有用。要使一個節共享，可使用/section:name,S 連結器選項。

IMAGE_SCN_MEM_READ

節是可讀的。幾乎總是被設定。

IMAGE_SCN_MEM_WRITE

節是可寫的。

IMAGE_SCN_LNK_INFO

節中包含連結器使用的資訊。只在OBJ檔案中存在。

IMAGE_SCN_LNK_REMOVE

節中的資料不會成為映像的一部分。只出現在OBJ檔案中。

IMAGE_SCN_LNK_COMDAT

節中的內容是公共資料(comdat)。公共資料是指可被定義在多個OBJ檔案中的資料。連結器將選擇一個包含到可執行檔案中。Comdat 對於支援C++模板函式和在函式級別上的連結是至關重要的。Comdat節只出現在OBJ檔案中。

IMAGE_SCN_ALIGN_XBYTES

在最終的可執行檔案中這個節中資料的對齊大小。它可有許多取值(_4BYTES，_8BYTES，_16BYTES等)。如果沒有被指定，預設是16位元組。這些標記只在OBJ檔案中被設定。

Dumpbin /disasm main.obj >mainasm.txt

//objMath.SubData(nGlobalData,3);以下是執行該函式呼叫的彙編程式碼

00000080: 8B F4              mov         esi,esp

  00000082: 83 EC 08           sub         esp,8

  00000085: DD 05 00 00 00 00   fld         qword ptr [__real@4008000000000000]

  0000008B: DD 1C 24           fstp        qword ptr [esp]

  0000008E: DB 05 00 00 00 00    fild        dword ptr [?nGlobalData@@3HA]

  00000094: 83 EC 08            sub         esp,8

  00000097: DD 1C 24           fstp        qword ptr [esp]

  0000009A: 8D 4D EC           lea         ecx,[ebp-14h]

  0000009D: FF 15 00 00 00 00    call dword ptr [__imp_?SubData@DemoMath@@QAEXNN@Z]

  000000A3: 3B F4              cmp         esi,esp

  000000A5: E8 00 00 00 00       call        __RTC_CheckEsp

SECTION HEADER #16           //程式碼段的資訊摘要。Subdata函式所在的程式碼段

   .text name

       0 physical address

       0 virtual address

      5C size of raw data

    2088 file pointer to raw data (00002088 to 000020E3)

    20E4 file pointer to relocation table

       0 file pointer to line numbers

       4 number of relocations

       0 number of line numbers

60501020 flags

         Code

         COMDAT; sym= "public: void __thiscall DemoMath::SubData(double,double)"

         16 byte align

         Execute Read

RAW DATA #16                  //程式碼段的二進位制資料內容，紅色字型表示需要重定位的位置。被//VirtualAddress欄位指定。

  00000000: 55 8B EC 81 EC CC 00 00 00 53 56 57 51 8D BD 34  U.ì.ìì...SVWQ.?4

  00000010: FF FF FF B9 33 00 00 00 B8 CC CC CC CC F3 AB 59  ???13...?ììììó?Y

  00000020: 89 4D F8 A1 00 00 00 00 83 C0 01 A3 00 00 00 00  .M??.....à.￡....

  00000030: DD 45 08 DC 65 10 83 EC 08 DD 1C 24 8B 45 F8 8B  YE.üe..ì.Y.$.E?.

  00000040: 08 E8 00 00 00 00 5F 5E 5B 81 C4 CC 00 00 00 3B  .è...._^[.?ì...;

  00000050: EC E8 00 00 00 00 8B E5 5D C2 10 00              ìè.....?]?..

RELOCATIONS #16               //程式碼段的重定位資訊。

                                                   Symbol     Symbol

 Offset     Type                    Applied To        Index      Name

 --------  ----------------  -----------------  --------  ------

 00000024  DIR32                     00000000         F  ?nOperTimes@@3HA (int nOperTimes)

 0000002C  DIR32                     00000000         F  ?nOperTimes@@3HA (int nOperTimes)

 00000042  REL32                     00000000        59  ?OutPutInfo@DemoOutPut@@QAEXN@Z

 00000052  REL32                     00000000        3F  __RTC_CheckEsp

typedef struct _IMAGE_RELOCATION

{

union

{

        DWORD   VirtualAddress;

        DWORD   RelocCount;      // Set to the real count when IMAGE_SCN_LNK_NRELOC_OVFL is set

    };

    DWORD   SymbolTableIndex;

    WORD    Type;

} IMAGE_RELOCATION;

typedef IMAGE_RELOCATION UNALIGNED *PIMAGE_RELOCATION;

欄位名稱

型別

描述

VirtualAddress

DWORD

該欄位指向程式碼段中的一個地址。該地址所包含的資料是需要重定位的符號的地址。這部分資料將要被重定位修正。該欄位指向了這個資料的第一個位元組。上面的示例中，紅色字型標記的部分被該欄位指向。

RelocCount

DWORD

SymbolTableIndex

DWORD

需要重定位的符號在符號表中的索引，該值為符號表陣列的索引。通過該值可以檢索符號在符號表中的資訊。

Type

WORD

一般分兩種型別。DIR32表示32位絕對地址；REL32表示32位相對地址。在執行重定位的時候，對於絕對地址型別，將被替換為符號的絕對地址；而對於相對地址型別，將被替換為符號的相對地址，即：符號相對於被修正位置的地址差。

typedef struct _IMAGE_LINENUMBER

{

union

{

        DWORD   SymbolTableIndex;    // Symbol table index of function name if Linenumber is 0.

        DWORD   VirtualAddress;      // Virtual address of line number.

    } Type;

    WORD    Linenumber;             // Line number.

} IMAGE_LINENUMBER;

typedef IMAGE_LINENUMBER UNALIGNED *PIMAGE_LINENUMBER;

欄位名稱

型別

描述

SymbolTableIndex

DWORD  

符號在符號表中的索引

VirtualAddress

DWORD  

符號的地址值

Linenumber

WORD   

行號

000 00847809 ABS    notype       Static       | @comp.id    //絕對值常量

001 00000001 ABS    notype       Static       | @feat.00     //絕對值常量

002 00000000 SECT1  notype       Static       | .drectve      //段名稱

    //段名稱符號下面緊跟段的資訊。每行佔用一個符號索引的位置，所以符號索引不是連續的。

    Section length  201, #relocs    0, #linenums    0, checksum        0 

Relocation CRC 00000000

005 00000000 SECT4  notype       External     | ?nOperTimes@@3HA (int nOperTimes)  //變數

006 00000000 SECT1A  notype ()    External     | ?DivData@DemoMath@@QAEXNN@Z  //函式

007 00000000 UNDEF  notype ()    External     | ?OutPutInfo@DemoOutPut@@QAEXPBD@Z //外部函式

typedef struct _IMAGE_SYMBOL

{

union

{

        BYTE    ShortName[8];

        Struct

 {               

            DWORD   Short;     // if 0, use LongName

            DWORD   Long;      // offset into string table

        } Name;

        DWORD   LongName[2];    // PBYTE [2]

    } N;

    DWORD   Value;

    SHORT   SectionNumber;

    WORD    Type;

    BYTE    StorageClass;

    BYTE    NumberOfAuxSymbols;

} IMAGE_SYMBOL;

typedef IMAGE_SYMBOL UNALIGNED *PIMAGE_SYMBOL;

欄位名稱

型別

描述

ShortName

BYTE

小於8個位元組的符號名稱儲存於此。

Short

DWORD

0表示符號名稱位於字串表中。

Long

DWORD

符號名稱在字串表中的偏移量。

LongName

DWORD

Value

DWORD

符號的值。對於變數或函式來說，符號值就是它們的地址。根據符號儲存型別的不同，符號值有不同的解釋。

SectionNumber

SHORT

符號所在的段落。ABS表示符號是個絕對值，是個常量；UNDEF表示符號是未定義的，即該符號的定義在其他段中；SECT1表示該符號位於編號為1的段中。

Type

WORD

符號的型別。Notype表示變數；notype()表示函式。

StorageClass

BYTE

符號的儲存型別。Static表示區域性變數，檔案內部可見；external表示全域性變數，全域性範圍內可見。

NumberOfAuxSymbols

BYTE

附加記錄的數量。

StorageClass

SectionNumber

Value

Static

SECTn（n為1，2，3…）

如果值不為零，表示符號在段內偏移。

SECTn（n為1，2，3…）

如果值為零，表示這個符號為段名。

ABS

常量的值。

External

UNDEF

符號為全域性變數/函式，符號定義在外部檔案中，值待定。

SECTn（n為1，2，3…）

符號為全域性變數/函式，符號定義在當前檔案中，值表示符號在段內偏移。

typedef struct _IMAGE_ARCHIVE_MEMBER_HEADER

{

    BYTE     Name[16];                          // File member name - `/' terminated.

    BYTE     Date[12];                          // File member date - decimal.

    BYTE     UserID[6];                         // File member user id - decimal.

    BYTE     GroupID[6];                        // File member group id - decimal.

    BYTE     Mode[8];                           // File member mode - octal.

    BYTE     Size[10];                          // File member size - decimal.

    BYTE     EndHeader[2];                      // String to end header.

} IMAGE_ARCHIVE_MEMBER_HEADER, *PIMAGE_ARCHIVE_MEMBER_HEADER;

Dumpbin /all DemoDlld.dll >DemoDll.txt

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header

    WORD   e_magic;                     // 魔術數字

    WORD   e_cblp;                      // 檔案最後頁的位元組數

    WORD   e_cp;                        // 檔案頁數

    WORD   e_crlc;                      // 重定義元素個數

    WORD   e_cparhdr;                   // 頭部尺寸，以段落為單位

    WORD   e_minalloc;                  // 所需的最小附加段

    WORD   e_maxalloc;                  // 所需的最大附加段

    WORD   e_ss;                        // 初始的SS值

    WORD   e_sp;                        // 初始的SP值

    WORD   e_csum;                      // 校驗和

    WORD   e_ip;                        // 初始的IP值

    WORD   e_cs;                        // 初始的CS值

    WORD   e_lfarlc;                    // 重分配表檔案地址

    WORD   e_ovno;                      // 覆蓋號

    WORD   e_res[4];                    // 保留字

    WORD   e_oemid;                     // OEM 識別符號

    WORD   e_oeminfo;                   // OEM information; e_oemid specific

    WORD   e_res2[10];                  // 保留字

    LONG   e_lfanew;                    // PE頭的地址

  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

typedef struct _IMAGE_NT_HEADERS

{

    DWORD Signature;                          //PE頭標識

    IMAGE_FILE_HEADER FileHeader;             //PE檔案物理分佈資訊

    IMAGE_OPTIONAL_HEADER32 OptionalHeader;   //PE檔案邏輯分佈資訊

} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

OPTIONAL HEADER VALUES

//以下為標準域的資訊

             10B magic # (PE32)

            9.00 linker version

            5800 size of code

            4800 size of initialized data

               0 size of uninitialized data

           11159 entry point (10011159) @ILT+340(__DllMainCRTStartup@12)

            1000 base of code

            1000 base of data

//以下為WinNT附加域的資訊

        10000000 image base (10000000 to 1001CFFF)

            1000 section alignment

             200 file alignment

            5.00 operating system version

            0.00 image version

            5.00 subsystem version

               0 Win32 version

           1D000 size of image

             400 size of headers

               0 checksum

               2 subsystem (Windows GUI)

             140 DLL characteristics

                   Dynamic base

                   NX compatible

          100000 size of stack reserve

            1000 size of stack commit

          100000 size of heap reserve

            1000 size of heap commit

               0 loader flags

              10 number of directories

//以下為資料目錄的資訊

           18AD0 [     2BA] RVA [size] of Export Directory

           1A000 [      50] RVA [size] of Import Directory

           1B000 [     C09] RVA [size] of Resource Directory

               0 [       0] RVA [size] of Exception Directory

               0 [       0] RVA [size] of Certificates Directory

           1C000 [     38C] RVA [size] of Base Relocation Directory

           17520 [      1C] RVA [size] of Debug Directory

               0 [       0] RVA [size] of Architecture Directory

               0 [       0] RVA [size] of Global Pointer Directory

               0 [       0] RVA [size] of Thread Storage Directory

               0 [       0] RVA [size] of Load Configuration Directory

               0 [       0] RVA [size] of Bound Import Directory

           1A224 [     1D4] RVA [size] of Import Address Table Directory

               0 [       0] RVA [size] of Delay Import Directory

               0 [       0] RVA [size] of COM Descriptor Directory

               0 [       0] RVA [size] of Reserved Directory

//資料目錄中資料元素的個數

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES    16

//可選頭的定義

typedef struct _IMAGE_OPTIONAL_HEADER

{

    //標準域

    WORD    Magic;  //魔法數字

    BYTE    MajorLinkerVersion;//連結器的最大版本號

    BYTE    MinorLinkerVersion;//連結器的最小版本號

    DWORD   SizeOfCode;//可執行程式碼長度

    DWORD   SizeOfInitializedData;//初始化資料的長度（data段）

    DWORD   SizeOfUninitializedData;//未初始化資料的長度（bss段）

    DWORD   AddressOfEntryPoint;//程式碼的入口地址，程式從此處開始執行

    DWORD   BaseOfCode;//可執行程式碼的起始位置

    DWORD   BaseOfData;//初始化資料的起始位置

    //NT附件域

    DWORD   ImageBase;//載入程式首選的相對虛擬地址

    DWORD   SectionAlignment;//段載入到記憶體以後的對齊方式

    DWORD   FileAlignment;//段在檔案中的對齊方式

    WORD    MajorOperatingSystemVersion;//作業系統最大版本號

    WORD    MinorOperatingSystemVersion;//作業系統最小版本號

    WORD    MajorImageVersion;//程式最大版本號

    WORD    MinorImageVersion;//程式最小版本號

    WORD    MajorSubsystemVersion;//子程式最大版本號

    WORD    MinorSubsystemVersion;//子程式最小版本號

    DWORD   Win32VersionValue;//這個值一直為零

    DWORD   SizeOfImage;//程式載入到記憶體以後，佔用記憶體的大小。

    DWORD   SizeOfHeaders;//檔案頭部總大小

    DWORD   CheckSum;//校驗和

    WORD    Subsystem;//一個標明可執行檔案所期望的子系統的列舉值

    WORD    DllCharacteristics;//dll狀態

    DWORD   SizeOfStackReserve;//保留棧大小

    DWORD   SizeOfStackCommit;//啟動後實際申請棧數

    DWORD   SizeOfHeapReserve;//保留堆的大小

    DWORD   SizeOfHeapCommit;//啟動後實際申請堆數

    DWORD   LoaderFlags;

DWORD   NumberOfRvaAndSizes;

//資料目錄的定義

    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];

} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

欄位名稱

型別

描述

Magic

WORD   

一個簽名，確定這是什麼型別的頭。兩個最常用的值是IMAGE_NT_OPTIONAL_HDR32_MAGIC 0x10b

和IMAGE_NT_OPTIONAL_HDR64_MAGIC 0x20b.

MajorLinkerVersion

BYTE   

建立可執行檔案的連結器的主版本號。對於Microsoft的連結器生成的PE檔案，這個版本號的Visual Studio的版本號相一致

MinorLinkerVersion

BYTE   

建立可執行檔案的連結器的次版本號

SizeOfCode

DWORD  

所有具有IMAGE_SCN_CNT_CODE屬性的節的總的大小

SizeOfInitializedData

DWORD  

所有包含已初始資料的節的總的大小。

SizeOfUninitializedData

DWORD  

所有包含未初始化資料的節的總的大小。這個域總是0，因為連結器可以把未初始化資料附加到常規資料節的末尾。

AddressOfEntryPoint

DWORD  

檔案中將被執行的第一個程式碼位元組的RVA。對於DLL，這個進入點將在程式初始化和關閉時，以及執行緒被建立和銷燬時呼叫。在大多數可執行檔案中，這個地址並不直接指向main，WinMain或DllMain函式，而是指向執行時庫程式碼，由執行時庫呼叫前述函式。在DLL中，這個域可以被設為0，這樣的話上面所說的通知就不能被接收到。連結器選項/NOENTRY可以設定這個域為0。

BaseOfCode

DWORD  

載入到記憶體後程式碼的第一個位元組的RVA。

BaseOfData

DWORD  

理論上，它表示載入到記憶體後資料的第一個位元組的RVA。然而，這個域的值對於不同版本的Microsoft連結器是不一致的。在64位的可執行檔案中這個域不出現。

ImageBase

DWORD  

檔案在記憶體中的首選載入地址。載入器儘可能地把PE檔案載入到這個地址(就是說，如果當前這塊記憶體沒有被佔用，它是對齊的並且是一個合法的地址，等等)。如果可執行檔案被載入到這個地址，載入器就可以跳過進行基址重定位（在這篇文章的第二部分描述）這一步。對於EXE，預設的ImageBase是0x400000。對於DLL，預設是0x10000000。在連結時可以通過/BASE 選項來指定ImageBase，或者以後用REBASE工具重新設定。

SectionAlignment

DWORD  

載入到記憶體後節的對齊大小。這個值必須大於等於FileAlignment（下一個域）。預設的對齊值是目標CPU的頁大上。對於執行在Windows 9x或Windows Me下的使用者模式可執行檔案，最小對齊大小是一頁(4KB)。這個域可以通過連結器選項/ALIGN來設定。

FileAlignment

DWORD  

在PE檔案中節的對齊大小。對於x86下的可執行檔案，這個值通常是0x200或0x1000。不同版本的Microsoft連結器預設值不同。這個值必須是2的冪，並且如果SectionAlignment小於CPU的頁大小，這個域必須和SectionAlignment相匹配。連結器選項/OPT:WIN98可設定x86可執行檔案的檔案對齊為0x1000，/OPT:NOWIN98設定檔案對齊為0x200。

MajorOperatingSystemVersion

WORD   

所要求的作業系統的主版本號。隨著那麼多版本Windows的出現，這個域的值就變得很不確切。

MinorOperatingSystemVersion

WORD   

所要求的作業系統的次版本號。

MajorImageVersion

WORD   

這個檔案的主版本號。不被系統使用並可設為0。可以通過連結器選項/VERSION來設定。

MinorImageVersion

WORD   

這個檔案的次版本號。

MajorSubsystemVersion

WORD   

可執行檔案所要求的操作子系統的主版本號。它曾經被用來表示需要較新的Windows 95或Windows NT使用者介面，而不是老版本的Windows NT介面。今天隨著各種不同版本Windows的出現，這個域已不被系統使用，並且通常被設為4。可通過連結器選項/SUBSYSTEM設定這個域的值。

MinorSubsystemVersion

WORD   

執行檔案所要求的操作子系統的次版本號。

Win32VersionValue

DWORD  

不被使用的域，通常設為0。

SizeOfImage

DWORD  

映像的大小。它表示了載入檔案到記憶體中時系統必須保留的記憶體的數量。這個域的值必須是SectionAlignmnet的倍數。

SizeOfHeaders

DWORD  

MS-DOS頭，PE頭和節表的總的大小。PE檔案中所有這些專案出現在任何程式碼或資料節之前。這個域的值被調整為檔案對齊大小的整數倍。

CheckSum

DWORD  

映像的校驗和。IMAGEHLP.DLL中的CheckSumMappedFile函式可以計算出這個值。校驗和用於核心模式的驅動和一些系統DLL。對於其它的，這個域可以為0。當使用連結器選項/RELEASE時校驗和被放入檔案中。

Subsystem

WORD   

指示可執行檔案期望的子系統（使用者介面型別）的列舉值。這個域只用於EXE。一些重要的值包括：

IMAGE_SUBSYSTEM_NATIVE

                                         // 映像不需要子系統

IMAGE_SUBSYSTEM_WINDOWS_GUI

                                         // 使用Windows GUI

IMAGE_SUBSYSTEM_WINDOWS_CUI

                                         // 作為控制檯程式執行。

                                         // 執行時，作業系統建立一個控制檯

                                         // 視窗並提供stdin，stdout和stderr

                                         // 檔案控制程式碼。

DllCharacteristics

WORD   

標記DLL的特性。對應於IMAGE_DLLCHARACTERISTICS_xxx定義。當前的值是：

IMAGE_DLLCHARACTERISTICS_NO_BIND

                                         // 不要繫結這個映像

IMAGE_DLLCHARACTERISTICS_WDM_DRIVER

                                         // WDM模式的驅動程式

IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE

                                         // 當終端服務載入一個不是

                                         // Terminal- Services-aware 的應用程

                                         // 序時，它也載入一個包含相容程式碼

                                         // 的DLL。

SizeOfStackReserve

DWORD  

在EXE檔案中，為執行緒保留的堆疊大小。預設是1MB，但並不是所有的記憶體一開始都被提交。

SizeOfStackCommit

DWORD  

在EXE檔案中，為堆疊初始提交的記憶體數量。預設情況下，這個域是4KB。

SizeOfHeapReserve

DWORD  

在EXE檔案中，為預設程式堆初始保留的記憶體大小。預設是1MB。然而在當前版本的Windows中，堆不經過使用者干涉就能超出這裡指定的大小。

SizeOfHeapCommit

DWORD  

在EXE檔案中，提交到堆的記憶體大小。預設情況下，這裡的值是4KB。

LoaderFlags

DWORD  

不使用。

NumberOfRvaAndSizes

DWORD  

在IMAGE_NT_HEADERS結構的末尾是一個IMAGE_DATA_DIRECTORY結構陣列。此域包含了這個陣列的元素個數。自從最早的Windows NT釋出以來這個域的值一直是16。

typedef struct _IMAGE_DATA_DIRECTORY

{

    DWORD   VirtualAddress; //被指向元素表的起始RVA地址。

    DWORD   Size;           //被指向元素表的長度

} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES    16

序號

索引

描述

0

IMAGE_DIRECTORY_ENTRY_EXPORT

指向匯出表(一個IMAGE_EXPORT_DIRECTORY結構)。

1

IMAGE_DIRECTORY_ENTRY_IMPORT

指向匯入表(一個IMAGE_IMPORT_DESCRIPTOR結構陣列)。

2

IMAGE_DIRECTORY_ENTRY_RESOURCE

指向資源(一個IMAGE_RESOURCE_DIRECTORY結構。

3

IMAGE_DIRECTORY_ENTRY_EXCEPTION

指向異常處理表(一個IMAGE_RUNTIME_FUNCTION_ENTRY結構陣列)。CPU特定的並且基於表的異常處理。用於除x86之外的其它CPU上。

4

IMAGE_DIRECTORY_ENTRY_SECURITY

指向一個WIN_CERTIFICATE結構的列表，它定義在WinTrust.H中。不會被對映到記憶體中。因此，VirtualAddress域是一個檔案偏移，而不是一個RVA。

5

IMAGE_DIRECTORY_ENTRY_BASERELOC

指向基址重定位資訊。

6

IMAGE_DIRECTORY_ENTRY_DEBUG

指向一個IMAGE_DEBUG_DIRECTORY結構陣列，其中每個結構描述了映像的一些除錯資訊。早期的Borland連結器設定這個IMAGE_DATA_DIRECTORY結構的Size域為結構的數目，而不是位元組大小。要得到IMAGE_DEBUG_DIRECTORY結構的數目，用IMAGE_DEBUG_DIRECTORY 的大小除以這個Size域。

7

IMAGE_DIRECTORY_ENTRY_ARCHITECTURE

指向特定架構資料，它是一個IMAGE_ARCHITECTURE_HEADER結構陣列。不用於x86或IA-64，但看來已用於DEC/Compaq Alpha。

8

IMAGE_DIRECTORY_ENTRY_GLOBALPTR

在某些架構體系上VirtualAddress域是一個RVA，被用來作為全域性指標（gp）。不用於x86，而用於IA-64。Size域沒有被使用。參見2000年11月的Under The Hood 專欄可得到關於IA-64 gp的更多資訊。

9

IMAGE_DIRECTORY_ENTRY_TLS

指向執行緒區域性儲存初始化節。

10

IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG

指向一個IMAGE_LOAD_CONFIG_DIRECTORY結構。IMAGE_LOAD_CONFIG_DIRECTORY中的資訊是特定於Windows NT、Windows 2000和 Windows XP的(例如 GlobalFlag 值)。要把這個結構放到你的可執行檔案中，你必須用名字__load_config_used 定義一個全域性結構，型別是IMAGE_LOAD_CONFIG_DIRECTORY。對於非x86的其它體系，符號名是_load_config_used (只有一個下劃線)。如果你確實要包含一個IMAGE_LOAD_CONFIG_DIRECTORY，那麼在 C++ 中要得到正確的名字比較棘手。連結器看到的符號名必須是__load_config_used (兩個下劃線)。C++ 編譯器會在全域性符號前加一個下劃線。另外，它還用型別資訊修飾全域性符號名。因此，要使一切正常，在 C++ 中就必須像下面這樣使用：

extern "C"

IMAGE_LOAD_CONFIG_DIRECTORY _load_config_used = {...}

11

IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT

指向一個 IMAGE_BOUND_IMPORT_DESCRIPTOR結構陣列，對應於這個映像繫結的每個DLL。陣列元素中的時間戳允許載入器快速判斷繫結是否是新的。如果不是，載入器忽略繫結資訊並且按正常方式解決匯入API。

12

IMAGE_DIRECTORY_ENTRY_IAT

指向第一個匯入地址表(IAT)的開始位置。對應於每個被匯入DLL的IAT都連續地排列在記憶體中。Size域指出了所有IAT的總的大小。在寫入匯入函式的地址時載入器使用這個地址和Size域指定的大小臨時地標記IAT為可讀寫。

13

IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT

指向延遲載入資訊，它是一個CImgDelayDescr結構陣列，定義在Visual C++的標頭檔案DELAYIMP.H中。延遲載入的DLL直到對它們中的API進行第一次呼叫發生時才會被裝入。Windows中並沒有關於延遲載入DLL的知識，認識到這一點很重要。延遲載入的特徵完全是由連結器和執行時庫實現的。

14

IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR

在最近更新的系統標頭檔案中這個值已被改名為IMAGE_DIRECTORY_ENTRY_COMHEADER。它指向可執行檔案中.NET資訊的最高階別資訊，包括後設資料。這個資訊是一個IMAGE_COR20_HEADER結構。

15

IMAGE_DIRECTORY_ENTRY_EXPORT

指向匯出表(一個IMAGE_EXPORT_DIRECTORY結構)。

//.idata段的資訊摘要

SECTION HEADER #5

  .idata name

    1130 virtual size

   1A000 virtual address (0041A000 to 0041B12F)

    1200 size of raw data

    7A00 file pointer to raw data (00007A00 to 00008BFF)

       0 file pointer to relocation table

       0 file pointer to line numbers

       0 number of relocations

       0 number of line numbers

C0000040 flags

         Initialized Data

         Read Write

//idata段的二進位制資料內容

RAW DATA #5

  0041A000: 64 A0 01 00 00 00 00 00 00 00 00 00 B4 A5 01 00  d?..........′￥..

  0041A010: B0 A2 01 00 58 A1 01 00 00 00 00 00 00 00 00 00  °￠..X?..........

  0041A020: 30 AB 01 00 A4 A3 01 00 F4 A1 01 00 00 00 00 00  0?..¤￡..??......

      …………….

//匯入表的資訊

Section contains the following imports:

    DemoDLLd.dll

                41A2B0 Import Address Table   //匯入地址表地址

                41A064 Import Name Table    //匯入名稱表地址

                     0 time date stamp

                     0 Index of first forwarder reference

  //匯出地址表陣列下標  符號名稱

                    6 ?GetOperTimes@@YAHXZ

                    4 ?Area@DemoMath@@QAEXN@Z

                    5 ?DivData@DemoMath@@QAEXNN@Z

                    8 ?SubData@DemoMath@@QAEXNN@Z

                    3 ?AddData@DemoMath@@QAEXNN@Z

                    0 ??0DemoMath@@QAE@XZ

                    1 ??1DemoMath@@QAE@XZ

typedef struct _IMAGE_IMPORT_DESCRIPTOR

{

union

{

        DWORD   Characteristics;      // 0 for terminating null import descriptor

        DWORD   OriginalFirstThunk;   // RVA to original unbound IAT (PIMAGE_THUNK_DATA)

    };

    DWORD   TimeDateStamp;           // 0 if not bound,

                                     // -1 if bound, and real date\time stamp

                                     //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)

                                     // O.W. date/time stamp of DLL bound to (Old BIND)

    DWORD   ForwarderChain;         // -1 if no forwarders

    DWORD   Name;

    DWORD   FirstThunk;            // RVA to IAT (if bound this IAT has actual addresses)

} IMAGE_IMPORT_DESCRIPTOR;

typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

欄位名稱

型別

描述

Characteristics

DWORD  

OriginalFirstThunk

DWORD  

指向匯入名稱表的相對虛擬地址。

TimeDateStamp

DWORD  

如果可執行檔案不與被匯入DLL繫結時，該值為0；如果以舊的樣式繫結時，改值為時間戳；如果以新的樣式繫結時，該值為-1。

ForwarderChain

DWORD  

第一個被轉送符號的索引，如果沒有轉送，則設定為-1。

Name

DWORD  

該欄位儲存了一個相對虛擬地址。該地址指向字串表中某個字串，這個字串是匯入DLL的名稱。

FirstThunk

DWORD  

指向匯入地址表的相對虛擬地址。

typedef struct _IMAGE_THUNK_DATA32

{

union

{

        DWORD ForwarderString;      // PBYTE

        DWORD Function;             // PDWORD

        DWORD Ordinal;

        DWORD AddressOfData;        // PIMAGE_IMPORT_BY_NAME

    } u1;

} IMAGE_THUNK_DATA32;

typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;

欄位名稱

型別

描述

ForwarderString

DWORD

指向一個轉向字串的相對虛擬地址。轉向匯入的時候使用。

Function

DWORD

被匯入符號的虛擬地址。動態連結完成以後寫入該值。

Ordinal

DWORD

被匯入符號在匯出表中的序號。編譯連結完畢後，該值可能會被寫入到PE檔案中。該值與AddressofData欄位互斥。

AddressOfData

DWORD

指向一個IMAGE_IMPORT_BY_NAME型別的資料結構。編譯連結完畢後，該值可能會被寫入到PE檔案中。該值與Ordinal欄位互斥。

typedef struct _IMAGE_IMPORT_BY_NAME

{

    WORD    Hint;

    BYTE    Name[1];

} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

欄位名稱

型別

描述

Hint

WORD   

匯入符號最有可能的序號值。在動態連結的時候，當用符號名匯入時，首先用Hint值在匯出符號表中查詢該符號，如果能夠查詢到，則命中；如果不能查詢到，則使用符號名進行二分法查詢。

Name

BYTE   

符號名稱的字串

//只讀段的摘要資訊

SECTION HEADER #3

  .rdata name

    1D8A virtual size

   17000 virtual address (10017000 to 10018D89)

    1E00 size of raw data

    5C00 file pointer to raw data (00005C00 to 000079FF)

       0 file pointer to relocation table

       0 file pointer to line numbers

       0 number of relocations

       0 number of line numbers

40000040 flags

         Initialized Data

         Read Only

//只讀段的二進位制資料內容

RAW DATA #3

  10017000: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

  10017010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

  10017020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

…..

//匯出表的資訊

Section contains the following exports for DemoDLLd.dll

    00000000 characteristics

    51A86C37 time date stamp Fri May 31 17:24:07 2013

        0.00 version

           1 ordinal base

           9 number of functions  //符號地址表元素的數量

           9 number of names    //符號名稱表元素的數量

      ordinal  hint  RVA       name

//序號，陣列下標，相對虛擬地址，符號名稱

          1    0 00011145 ??0DemoMath@@QAE@XZ

          2    1 00011109 ??1DemoMath@@QAE@XZ

          3    2 0001101E ??4DemoMath@@QAEAAV0@ABV0@@Z

          4    3 000111C7 ?AddData@DemoMath@@QAEXNN@Z

          5    4 0001116D ?Area@DemoMath@@QAEXN@Z

          6    5 00011221 ?DivData@DemoMath@@QAEXNN@Z

          7    6 000110B4 ?GetOperTimes@@YAHXZ

          8    7 00011005 ?MulData@DemoMath@@QAEXNN@Z

          9    8 0001114A ?SubData@DemoMath@@QAEXNN@Z

typedef struct _IMAGE_EXPORT_DIRECTORY

{

    DWORD   Characteristics;

    DWORD   TimeDateStamp;

    WORD    MajorVersion;

    WORD    MinorVersion;

    DWORD   Name;

    DWORD   Base;

    DWORD   NumberOfFunctions;

    DWORD   NumberOfNames;

    DWORD   AddressOfFunctions;     // RVA from base of image

    DWORD   AddressOfNames;         // RVA from base of image

    DWORD   AddressOfNameOrdinals;  // RVA from base of image

} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

欄位名稱

型別

描述

Characteristics

DWORD

關於匯出表的一些標記，目前沒有被定義。

TimeDateStamp

DWORD

匯出表被建立的時間。

MajorVersion

WORD   

匯出表的主版本號，目前沒有使用，設為零。

MinorVersion

WORD   

匯出表的次版本號，目前沒有使用，設為零。

Name

DWORD

一個相對虛擬地址，指向字串表的一個位置，該位置儲存了該Dll的名稱。

Base

DWORD

通常設定為1，但也不是必須的。

序號 = Base + 符號地址陣列下標。

NumberOfFunctions

DWORD

符號地址表中資料元素的個數。

NumberOfNames

DWORD

符號名稱表以及符號名稱序號對應關係表中資料元素的個數。由於符號名稱表和符號名稱序號對應關係表是一一對應的，所以它們的陣列元素個數相同；該值可能會小於NumberOfFunctions，如果小於這個值，表示有一部分符號只通過序號對應，沒有儲存它們的名稱。

AddressOfFunctions

DWORD

相對虛擬地址，指向符號地址表。

AddressOfNames

DWORD

相對虛擬地址，指向符號名稱表。

AddressOfNameOrdinals

DWORD

相對虛擬地址，指向符號名稱序號對應關係表。

符號虛擬記憶體地址 = 預設記憶體載入位置 + 相對虛擬記憶體地址

固定值 = DLL當前記憶體載入的位置 – DLL預設記憶體載入位置（0x10000000）

//基址重定位表的摘要資訊

SECTION HEADER #7

  .reloc name

     524 virtual size

   1C000 virtual address (1001C000 to 1001C523)

     600 size of raw data

    9A00 file pointer to raw data (00009A00 to 00009FFF)

       0 file pointer to relocation table

       0 file pointer to line numbers

       0 number of relocations

       0 number of line numbers

42000040 flags

         Initialized Data

         Discardable

         Read Only

//基址重定位表的二進位制資料內容

RAW DATA #7

  1001C000: 00 10 01 00 68 00 00 00 4F 35 76 35 9F 35 A4 37 

  1001C010: AC 37 24 38 2C 38 A4 38 AC 38 30 39 41 39 49 39

  1001C020: C4 39 CC 39 D8 39 C6 3A D7 3A DD 3A EE 3A FD 3A

     ………………

//以下是對二進位制內容的翻譯。

BASE RELOCATIONS #7

//基址重定位表的資料塊 相對虛擬地址為：11000，塊大小為68，該資料塊對應一個4KB大小的記憶體頁

   11000 RVA,       68 SizeOfBlock

低12位偏移  型別             符號的地址  符號名稱

     54F  HIGHLOW            10019140  ?nOperTimes@@3HA (int nOperTimes)

     576  HIGHLOW            100156AE

     59F  HIGHLOW            10019004  ___security_cookie

             …….

//下一個資料塊，相對虛擬地址為：12000，塊大小為F4，該資料塊對應一個4KB大小的記憶體頁

12000 RVA,       F4 SizeOfBlock

       C  HIGHLOW            10012010

      18  HIGHLOW            1001201C

     146  HIGHLOW            10015718

     16F  HIGHLOW            10019004  ___security_cookie

            ………

重定位資訊個數 = （塊大小 – sizeof（IMAGE_BASE_RELOCATION））/2

因為塊大小以位元組為單位表示，而重定位資訊以字為單位表示，轉化成字需要除2

型別

描述

IMAGE_REL_BASED_ABSOLUTE (0)

這種不需操作；用於將塊按32位邊界對齊。位置應該為0。

IMAGE_REL_BASED_HIGH (1)

重定位的高16位必須被用於被偏移量所指向的那個16位的WORD單元，此WORD是一個32位的DWORD的高位WORD。

IMAGE_REL_BASED_LOW (2)

重定位的低16位必須被用於被偏移量所指向的那個16位的WORD單元，此WORD是一個32位的DWORD的低位WORD。

IMAGE_REL_BASED_HIGHLOW (3)

重定位的全部32位必須應用於上面所說的全部32位。PE檔案採用該型別。

IMAGE_REL_BASED_HIGHADJ (4)

這種修正要求一個全32位值。高16位定位於偏移量處，低16位定位在下一個陣列元素（此陣列元素包括在大小的域中）的偏移量處。它們兩個需要被連成一個有符號的變數。加上32位的增量。然後加上0x8000 並將有符號變數的高16位儲存在偏移量處的16位域中。”

IMAGE_REL_BASED_MIPS_JMPADDR (5)

IMAGE_REL_BASED_SECTION (6)

IMAGE_REL_BASED_REL32 (7)

typedef struct _IMAGE_BASE_RELOCATION

{

    DWORD   VirtualAddress;

    DWORD   SizeOfBlock;

//  WORD    TypeOffset[1];

} IMAGE_BASE_RELOCATION;

typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

欄位名稱

型別

描述

VirtualAddress

DWORD  

資料塊的虛擬記憶體地址

SizeOfBlock

DWORD  

資料塊的大小

BASE RELOCATIONS #7

//基址重定位表的資料塊 相對虛擬地址為：11000，塊大小為68，該資料塊對應一個4KB大小的記憶體頁

   11000 RVA,       68 SizeOfBlock

低12位偏移  型別             符號的地址  符號名稱

     54F  HIGHLOW            10019140  ?nOperTimes@@3HA (int nOperTimes)

     576  HIGHLOW            100156AE

     59F  HIGHLOW            10019004  ___security_cookie

             …….

?GetOperTimes@@YAHXZ:

  10011530: 55                 push        ebp

  10011531: 8B EC              mov         ebp,esp

  10011533: 81 EC C0 00 00 00  sub         esp,0C0h

  10011539: 53                 push        ebx

  1001153A: 56                 push        esi

  1001153B: 57                 push        edi

  1001153C: 8D BD 40 FF FF FF  lea         edi,[ebp-0C0h]

  10011542: B9 30 00 00 00     mov         ecx,30h

  10011547: B8 CC CC CC CC     mov         eax,0CCCCCCCCh

  1001154C: F3 AB              rep stos    dword ptr es:[edi]

  1001154E: A1 40 91 01 10     mov         eax,dword ptr [?nOperTimes@@3HA]

  10011553: 5F                 pop         edi

  10011554: 5E                 pop         esi

  10011555: 5B                 pop         ebx

  10011556: 8B E5              mov         esp,ebp

  10011558: 5D                 pop         ebp

  10011559: C3                 ret