PE文件頭部結(jié)構(gòu)查看器下載 1.1.0.1 單文件綠色版

PE文件頭部結(jié)構(gòu)查看器是一款查看PE頭部和導(dǎo)入導(dǎo)出表重定位表，PE區(qū)段的有效信息的工具。PE文件被稱為可移植的執(zhí)行體是Portable Execute的全稱，常見(jiàn)的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微軟Windows操作系統(tǒng)上的程序文件。

PE文件詳解：

PE文件總的來(lái)說(shuō)是由DOS文件頭、DOS加載模塊、PE文件頭、區(qū)段表與區(qū)段5部分構(gòu)成。其實(shí)，如果在純Windows環(huán)境下運(yùn)行，DOS文件頭、DOS加載模塊根本是用不上的，加上兩個(gè)DOS相關(guān)的結(jié)構(gòu)完全是為了兼容性問(wèn)題。

為了方便觀察與理解，我們可以通過(guò)觀察圖1大體了解PE文件的結(jié)構(gòu)。

如圖可知，整個(gè)程序就是以DOS文件頭“MZ”開(kāi)始的，接下來(lái)就是DOS加載模塊“This program cannot be run in DOS mode”，幾乎每個(gè)Windows程序的前面都是這樣一些信息！

下面有一個(gè)以字母“PE”為開(kāi)頭的文件塊，這就是大名鼎鼎的PE文件頭了，PE文件頭的標(biāo)準(zhǔn)大小為224個(gè)字節(jié)，由圖可見(jiàn)，里面有一個(gè)畫(huà)了橫線標(biāo)記的問(wèn)號(hào)與左面的十六進(jìn)制信息“E0”相對(duì)應(yīng)，這便是PE文件頭體積的描述標(biāo)記，十六進(jìn)制的“E0”等于十進(jìn)制的“224”由此也不難看出PE文件頭的大小為224個(gè)字節(jié)。

再往下就是以“.text”、“ .data”與“.rsrc”組成的區(qū)段表了。區(qū)段表也稱節(jié)表，它的作用就相當(dāng)于一本書(shū)中的目錄，你想看哪一章哪一節(jié)，只要按著目錄標(biāo)注的頁(yè)數(shù)去找就可以，PE文件的區(qū)段表也是起同樣的作用，但是區(qū)段表除此之外還包含有各個(gè)區(qū)段的讀寫(xiě)權(quán)限信息。而圖中的“.text”、“ .data”與“.rsrc”則是這個(gè)程序里的區(qū)段名稱，也稱為“節(jié)”。由此可見(jiàn)這個(gè)程序是由“.text”、“ .data”與“.rsrc”這3個(gè)區(qū)段組成的，如圖2。

其實(shí)通過(guò)區(qū)段名稱就可以大體猜出來(lái)這個(gè)區(qū)段里包含什么信息，在整個(gè)程序中能起到什么作用等等。

由此可見(jiàn)，PE文件是一種結(jié)構(gòu)組成十分科學(xué)的文件格式，因此也對(duì)我們快速的認(rèn)識(shí)它起到了助推器的作用，只要你記住PE文件的這5個(gè)構(gòu)成的結(jié)構(gòu)，你就可以向別人說(shuō)，我了解PE文件！

相關(guān)搜索：PE