PE文件：

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

     |   DOS Header                                                                              |   其中_lfanew 域指向4的地址

     |   结构：TImageDosHeader                                                             |

文  |----------------------------------------------------------------------------------------------------------------------------------

件  |    DOS stub 可执行代码                                                                 |   不定长

头  |----------------------------------------------------------------------------------------------------------------------------------------------------

部  |                                             |    PE标志                                       |

     |                                             |--------------------------------------------------------------------------------------------------------------------

     |    PE Header                           |    PE基本信息                                 |   其中NumberOfSection域决定8的元素个数

     |    结构：TImageNtHeaders        |    结构：TImageFileHeader              |

     |                                             |--------------------------------------------------------------------------------------------------------------------

     |                                             |    PE 可选头部                                |   其中SizeOfHeaders域是1和8占用的总空间，也是9的相对地址：DataDirectory域

     |                                             |    结构：TImageOptionalHeader        |   包含了16个有用的数据表首地址

---------------------------------------------------------------------------------------------------------------------------------------------------------

    Section table (字表)                                                                         |   不定长

    结构： array[] of TImageSection Header                                             |

------------------------------------------------------------------------------------------------------------------------------------------------------------

……………………                                                                                       |

……………………                                                                                       |

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

DOS Header结构：

PImageDosHeader  =^ TImageDosHeader;

_IMAGE_DOS_HEADER = packed record

　　e_magic: Word;                              { 常设为“MZ” }

　　e_cblp: Word;        　　　　　　　　  { Bytes on last page of file }　

　　e_cp: Word;    　　　　　　　　　　　{ Pages in file }

　　e_crlc: Word;　　　　　　　　　　　　{ Relocations }

　　e_cparhdr: Word;　　　　　　　　　　{ Size of header in paragraphs }

　　e_minalloc: Word;　　　　　　　　　　{ Minimum extra paragraphs needed }

　　e_maxalloc: Word;　　　　　　　　　　{ Maximum extra paragraphs needed }

　　e_ss: Word;　　　　　　　　　　　　　{ Initial (relative) SS value }

　　e_sp: Word;　　　　　　　　　　　　　{ Initial SP value }

　　e_esum: Word;　　　　　　　　　　　  { Check sum }

　　e_ip: Word;　　　　　　　　　　　　　　{ Initial (relative CS value }

　　e_cs: Word;　　　　　　　　　　　　　　{ Initial (relative CS value }

　　e_lfarlc: Word;　　　　　　　　　　　　  { File address of relocation table }

　　e_ovno: Word;　　　　　　　　　　　　  { Overlay number }

　　e_res: array [0..3] of Word;　　　　　　{ Reserved words　　}

　　e_oemid: Word;　　　　　　　　　　　　{ OEM identificr (fore oeminfo) }

　　e_oeminnfo: Word;　　　　　　　　　　 { OEM information: e_oemid specific }

　　e_res2:array [0..9] of Word;　　　　　　{ Reserved words }

　　_lfanew: LongInt;　　　　　　　　　　　　{ PE header在文件中的偏移量 }

end;

　　其中只有两个域比较重要： e_magic包含字符串“MKZ”（即IMAGE_DOS_SIGNATURE, 或$5A4D）， lfannew包含PE Header在文件中的偏移量。比较e_magic是否等于IMAGE_DOS_SIGNATURE验证是否为有效的DOS Header。

　　为了定位到PE Header（PE文件头部）， 移动文件指针到_lfanew所指向的偏移。

PE header在delphi中的完整定义：

PImageNtHeaders =^ TImageNtHeaders;

_IMAGE_NT_HEADERS = packed record

　　Signature: DWORD;　　{ PE标记， 值恒为$50、$45、$00、$00（即IMAGE_NT_SIGNATURE、$00004550或“PE\0\0”） }

　　FileHeader: TImageFileHeader; 　　{ 包含了关于文件物理分布的一般信息 }

　　OptionalHeader: TImageOptionalHeader;　　{ 包含了关于PE文件逻辑分布的信息 }

end;

{ $EXTERNALSYM_IMAGE_NT_HEADERS }

TImageNtHeaders = _IMAGE_NT_HEADERS;

PE基本信息（File Header）

PImageFileHeader =^ TImageFileHeader;

_IMAGE_FILE_HEADER = packed record

　　Machine: Word;　　{ 该文件运行所要求的CPU }

　　NumberOfSection: Word;　　{ 文件中节的个数。 如果要在文件中增加或删除一个节，就需要修改这个值。如果要对文件加外壳，需要修改节的数目 }

　　TimeDateStamp: DWORD;　　{ 文件创建日期和时间 }

　　PointerToSymbolTable: DWORD;　　{ 指向符号表，用于调试 }

　　NumberOfSymbols: DWORD;　　{ 存放符号表的数目 }

　　SizeOfOptionalHeader: Word;　　{ 指示紧随本结构之后的IMAGE_OPTIONAL_HEADER结构大小 }

　　Characteristics: Word;　　{ 关于文件信息的标记 }

end;

{ $EXTERNALSYM_IMAGE_FILEE_HEADER }

TImageFileHeader = _IMAGE_FILE_HEADER;

PE可选头部（Optional Header ）

PImageOptionnalHeader =^TImageOptionalHeader;

_IMGEE_OPTIONAL_HEADER = packed record

　　Mageic: Word;　　{ 可选头部，通常为$010B, 占2字节 }

　　MajorLinkerVersion: Byte;　　{ 连接程序主版本号，占1字节 }

　　MinorLinkerVersion: Byte;　　｛ 连接程序主版本号，占1字节 ｝

　　SizeOfCode: DWORD;　　{ 代码段的大小（经过对齐后的值）， 占4字节 }

　　SizeOfInitializedData: DWORD;　　{ 已经初始化数据的大小，占4字节 }

　　SizeOfUninitializedData: DWORD;　　{ 未初始化数据的大小，占4字节 }

　　AddressOfEntryPoint: DWORD;　　{ PE装载器准备运行的PE文件的第一个代码指令的RVA。 若需要改变整个执行的流程，可以将该值指定到新的RVA，这样新RVA处的指令首先被执行。该域占4字节 }

　　BaseOfCode: DWORD;　　{ 代码节开始的位置，占4字节 }

　　BaseOfData: DWORD;　　{ 数据节开始的位置，占4字节 }

　　{ NT additional fields. }

　　ImageBase: DWORD;　　{ PE文件的装载地址。对于EXE文件，该值常为$400000或$100000 }

　　SectionAlignment: DWORD;　　｛ 节的对齐值，例如，如果该值是$1000，那么每节的起始地址必须是$1000的倍数 ｝

　　FileAlignment: DWORD;　　{ 文件的对齐值。例如，如果该值是$200， 那么每节的起始地址必须是@200 }

　　MajorOperatingSystemVersion: Word;　　｛ 要求最低操作系统版本号的主版本号，占2字节 ｝

　　MinorOperatingSystemVersion: Word;　　{ 要求最低操作系统版本号的次版本号，占2字节 }  

　　MajorImageVersion: Word;　　{ 可执行文件主版本号，占2字节 }  

　　MinorImageVersion: Word;　　｛ 可执行文件次版本号，占2字节 ｝

　　MajorSubSystemVersion: Word;　　｛ Win32子系统主版本。若PE文件是专门为Win32设计的，该子系统版本应该应该是4.0， 否则对话框不会有3维立体感 ｝

　　MinorSubSystemVeersion: Word;　　｛ Win32子系统次版本，占2字节。 ｝

　　SizeOfImage: DWord;　　｛ 内存中整个PE映像体的大小。注意：该域的值大于或等于原文件的内存空间，而不是原文件的物理顺序 ｝

　　SizeOfHeaders: DWord;　　｛ PE文件所有头部和节表占用的总空间大小，也就是PE文件第一节的相对偏移量，占4字节 ｝

　　CheckSum: DWord;　　｛ CRC检验和，一般的EXE文件可以是0，但重要的DLL文件必须有一个校验和，占4字节 ｝

　　SubSystem: Word;　　｛ 识别PE文件属于哪个子系统。对于大多数Win32程序，只有两个可能值：Windows GUI图形界面和Windows CUI控制台，占2字节 ｝

　　DHCharacteristics: Word;　　｛ PE文件的DLL特征值，一般为0，占2字节。当是$2000时表示WDM驱动程序 ｝

　　SizeOfStackReserve: DWord;　　｛ 保留的堆栈大小，占4字节 ｝

　　SizeOfHeapReserve: DWord;　　｛ 提交的堆栈大小，这个值总小于或等于SizeOfStackReserve. 占4字节 ｝

　　SizeOfHeapCommit: DWord;　　｛ 为局部Heap提交的堆栈大小，这个值总小于或等于SizeOfHeapReserve，占4字节 ｝

　　LoaderFlags: DWord;　　｛ 用于调试，一般为0 ｝

　　NumberOfRvaAndSizes: DWord;　　｛ 数据目录的项数，一般为16 ｝

　　DataDirectory:IMAGE_DATA_DIRECTORY  packed array[0..IMAGE_NUMBEROF_DIRECTORY_ENTRIES -1] of TImageDataDirectory;

　　IMAGE_DATA_DIRECTORY结构数组。每个结构给出一个重要数据结构的RVA，例如，引入地址表、导出地址表等。数组上的元素可以是 以下值：

　　IMAGE_DIRECTORY_ENTRY_EXPORT　　　　　　= 0; { Export Directory }

　　IMAGE_DIRECTORY_ENTRY_IMPORT　　 　　　　= 1; { Import Directory } 

　　IMAGE_DIRECTORY_ENTRY_RESOURCE  　　　　= 2; { Resource Directory }

　　IMAGE_DIRECTORY_ENTRY_EXCEPTION  　　　   = 3; { Exception Directory }

　　IMAGE_DIRECTORY_ENTRY_SECURITY　 　　　　= 4; { Security Directory }

　　IMAGE_DIRECTORY_ENTRY_BASERELOC 　　　　= 5; { Base Relocation Table }

　　IMAGE_DIRECTORY_ENTRY_DEBUG　　   　　　　= 6; { Debug Directory }

　　IMAGE_DIRECTORY_ENTRY_COPYRIGHT　　　　　= 7; { Description String }

　　IMAGE_DIRECTORY_ENTRY_CLOBALPTR　 　　   = 8; { Machine Value (MIPS GP }

　　IMAGE_DIRECTORY_ENTRY_TLS　　　　     　　  = 9; { TLS Directory }

　　IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG 　　  = 10; { Load Configuration Directory }

　　IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT 　  = 11; { Bound Import Directory in headers }

　　IMAGE_DIRECTORY_ENTRY__IAT　　　　　　　  = 12; { Import Address Table }

end;

DataDirectory的每个元素都是TImageDataDirectory结构类型的，其定义如下所示：

　　PImageDataDirectory =^TImageDataDirectory;

　　_IMAGE_DATA_DIRECTORY = record

　　　　VirtualAddress: DWord;　　｛ 导出表、导入表、资源表等的相对虚拟地址（RVA） ｝

　　　　Size: DWord;　　｛ 导出函数表、导入函数表、资源表等的字节数 ｝

　　end;

　　{ $EXTERNALSYM_IAMGE_DATA_DIRECTORY }

　　TImageDataDirectory = _IMAGE_DATA_DIRECTORY;

　　TImageOptionalHeader中DataDirectory的第一个元素的VirtualAddresss指向一个导出函数结构数组，该结构的定义如下：

　　PImageExportDirectory =^TImageEExportDirectory;

　　TImageExportDirectory = packed record

　　　　Characteristics: DWord;　　{ 一般设为0 }

　　　　TimeDateStamp: DWord;　　｛ 文件生成时间 ｝

　　　　MajorVersion: Word;　　｛ 主版本号 ｝

　　　　MinorVersion: Word;　　｛ 次版本号 ｝

　　　　Name: DWord;　　｛ 模块中DLL名称。本域是必须的，因为文件名可能会改变。这种情况下，PE装载器将使用这个内部名字 ｝

　　　　Base: DWord;　　｛ 起始的函数编号，默认情况下是1，此值影响AddressOfNameOridinals数组 ｝

　　　　NumberOfFunctions: DWord;　　｛ 导出函数地址的数目，是AddressOfFunnctions数组中元素的个数。 ｝

　　　　NumberOfNames:DWord;　　｛ 导出函数名字的总数目，该值小于或等于NumberOfFunctions，是AddressOfNames、AddressOfNameOrdinals数组中元素的个数 ｝

　　　　AddressOfFunctions:^PDWord　　｛ 导出函数的地址数组，每个名字指针占32位（4字节） ｝

　　　　AddressOfNames:^PDWord;　　｛ 导出函数的名字数组，第个名字指针占32位（4字节） ｝

　　　　AddressOfNameOrdinals:^PWord;　　｛ 导出函数的编号数组，第个编号占16位（2字节） ｝

　　end;

　　DataDirectory数组R第二个元素包含引入函数表的地址。引入函数表是一个TImageImportDescriptor结构数组。每个结构包含一个被引入DLL的所有引入函数R信息。

　　PImageImportDescriptor =^TImageImportDescriptor;

　　TImageImportDescriptor = packed record

　　　　OriginalFirstThunk: DWord;　　{ 这是FirstThunk的备份，有的模块中该域的值是0， 这时必须读取FirstThunk。 }

　　　　TimeDateStamp: DWord;　　｛ 文件建立时间 ｝ 

　　　　ForwarderChain: DWord;　　｛ 当做一条链，当程序引用一个DLL中的API，而这个API又是引用别的DLL名字的指针时才用到 ｝ 

　　　　DLLName: DWord;　　｛ DLL模块的名字， 是一个ASCII Z字符串 ｝

　　　　FirstThunk: DWord;　　｛ 有两种情况。如果值小于$80000000,  则表示这是一个TImportByName结构数组，包含从该DLL引入的所有函数列表（一个或多个函数）；如果值大于或等于$80000000, 该值的低31位是该DLL引入函数的编号（一个函数）。因为当前模块引入其他DLL模块中的函数有两种方式：以名字引入和以编号引入 ｝

　　end;

　　PImportByName =^TImportByName:

　　TImportByName = packed record

　　　　ProcedureHint: Word;　　｛ 指示本函数在其所驻留DLL的导出表中的索引号。该值被PE装载器用来在DLL的导出表里快速查询函数。该值不是必须的，一些链接器将此值设为0 ｝

　　　　ProcedureName: array[0..1] of char; 　　｛ 含有引入函数的函数名，这是一个ASCII Z字符串 ｝

　　end;

节表（Section Table）

PImageSectionHeader =^TImageSectionHeader;

_IMAGE_SECTION_HEADER = packed record

　　Name:packe array[0..IMAGE_SIZEOF_SHORT_NAME-1] of Bytee;　　{ 节名，长度不超过8字节。仅做为标记 }

　　Misc:TISHMisc;　　｛ 在OBJ文件中，physcialAddress用做表示本节物理地址; 在EXE中，VirtualSize表示节的虚拟空间大小。该域占4字节 ｝

　　VirtualAddreess: DWord;　　｛ 本节的RVA（相对虚拟地址）。PE装载器将节映射至内存时会读取本值。例如，如果值是1000H， 而PE文件装在地址400000H处，那么本节就被载到401000H；在OBJ文件中无意义，占4字节。注意：该域的值表明“节”被重定位到新的内容空间中，而不是原文件的物理顺序 ｝

　　SizeOfRawData: DWord;　　｛ 经过文件对齐处理后节的大小，PE装载器提取该值来了解需映射入内存的字节数，该值大于或等于VirtualSize ｝

　　PointerToRawData: DWord;　　｛ 当前节的数据在磁盘物理文件中的实际位置 ｝

　　PointerToRelocations: DWord;　　｛ 在OBJ文件中表示该节重定位信息的相对地址，在PE文件中无意义，占4字节 ｝

　　PointerToLinenumbers: DWord;　　｛ 行号表的相对地址，占4字节 ｝

　　NumberOfRelocations: Word;　　｛ 本节要重定位的数目，占2字节 ｝

　　NumberOfLinenumbers: Word;　　｛ 本节的行号表中的数目，占2字节 ｝

　　Characteristics: DWord;　　｛ 节属性，包括节是否含有可执行代码、初始化数据、未初始数据，或是否可写、可读等，占4字节 ｝

end;

{ $EXTERNALSYM_IMAGE_SECTIONk_HEADER }

TImageSectionHeader = _IMAGE_SECTION_HEADER;

引入函数表（Import Table）

要列出PE文件的所有引入函数，可以按照下面的步骤：

　　1. 校验文件是否是有效的PE文件

　　2. 从DOS Header 定位到PE Header

　　3. 获取Optional Header中的DataDirectory值

　　4. 取出DataDirectory第二个元素中的VirtualAddress值，该值实际上是指向TImageImportDescriptor数组的指针。

　　5. 读出每个TImageImportDescriptor结构，它的DLLName域是模块的名字，它的FirstThunk有两种情况：如果最高位为0， 则FirstThunk是一个TImportByName结构数组，里面包含一个或多个引入函数的名字；如果最高位为1， 则FirstThunk是该DLL模块中一个引入函数的编号。

　　6. 循环第5步，直至遭到一全是0的结构。

导出表（Export Table）

通过导出函数名要获取函数地址和编号，可以按照以下步骤操作

1. 通过DOS Header定位到PE Header

2. 获取Optional Header中的DataDirectory值

3. 取出DataDirectory第一个元素中的VirtualAddress值，该值实际上是指向TimageExportDirectory数组的指针，并获取Base域的值

4. 获取导出函数名字的数组（NumberOfNames）

5. 从AddressOfNames中检索出所需要的函数名，并从AddressOfNameOrdinals读出函数的“相对编号”，“实际编号”=“相对编号”+Base-1。例如，若检索到函数名字在AddressOfNames数组的第77个元素，就可以获得AddressOfNameOridinals数组的第77个元素，就可以获得AddressOfNameOridinals数组的第77个元素作为函数“相对编号”， 77 + Base - 1是函数的“实际编号”；如果此“相对编号”是90， 那么可以获得AddressOfFunctions数组的第90个元素作为函数的入口地址。如果遍历完NumberOfNames个元素也没有检索到该函数的名字，则说明当前模块没有所要找的函数。

通过函数的编号n也可以获取函数地址，步骤如下：

1. 从DOS Header定位到PE Header

2. 获取Optional Header中的DataDirectory值

3. 取出DataDirectory第一个元素中的VirtualAddress值，该值实际上是指向TImageImportDescriptor数组的指针，并获取Base域的值。

4. 如果n-(Base-1)的值大于或等于NumberOfFunctions，则说明该函数编号无效；

5. 这样，就可以获得AddressOfFunctions数组中的第n-(Base-1)个元素的值。

通过函数的编号n获取函数名字的步骤如下：

1. 从DOS Header定位到PE Header

2. 获取Optional Header中的DataDirectory值

3. 取出DataDirectory第一个元素中的VirtualAddress值，该值实际上是指向TImageImportDescriptor数组的指针，并获取Base域的值

4. 如果n-(Base-1)的值大于或等于NumberOfFunctions，则说明该函数编号无效

5. 在AddresssOfNameOrdinals数组中搜索n-(Base-1)值，如果能搜索到，这时的索引值是i， 则NumberOfNames的第i个元素是函数的名字；如果没有找到，则说明该函数没有指定导出的名字。

重定位表

若装载器不是把程序装到程序编译时默认的基地址时，就需要这个重定位表来做一些调整。

PImageBaseRelocation =^TImageBaseRelocationn;

TImageBaseRelocation = Packed Record

　　VirtualAddress: DWord;　　{ 重定位数据块起始地址 }

　　SizeOfBlock: DWord;　　｛ 本块的大小 ｝

　　TypeOffset: array[0..1] of Word;　　｛ 一个不定长数组，即是要定位的数据的位置，其低12位加上VirtualAddress即是重定位的数据的RVA地址 ｝

end;

检验PE文件的有效性

　　如何才能校验指定文件是否为有效PE文件呢？这可以通过检验PE文件格式里的各个数据域，或者仅校验一些关键数据域来实现。大多数情况下，没有必要校验文件里的第一个数据域，只要校验一些关键数据域有效，就可以确定是否是有效的PE文件了。

　　要验证的重要数据结构就是PE Header。PE Header实际就是一个TImageNtHeaders结构，如果TImageNtHeaders的Signature域值等于“PE\0\0”，那么这就是有效的PE文件。实际上，为了方便编程，可以使用Microsoft已定义了的常量IMAGE_NT_SIGNATURE（“PE\0\0”）:

　　IMAGE_DOS_SIGNATURE = $5A4D;

　　IMAGE_OS2_SIGNATURE = $454E;

　　IMAGE_OS2_SIGNATURE_LE = $454C;

　　IMAGE_VxD_SIGNATURE = $454C;

　　IMAGE_NT_SIGNATURE = $4550;

接下来的问题是如何定位PE Header。 前面讲述过的DOS Header包含了一个指向PE Header的偏移量。DOS Header是一个TImageDosHeader结构，该结构中的_lfanew域就是指向PE Header的偏移量。

实现步骤如下：

1. 首先检验文件头部第一、二个字节的值是否等于IMAGE_DOS_SIGNATURE, 若是，则DOS Header有效。

2. 使用DOS Header的_lfanew来定位PE Header。注意：使用_lfanew之前， 需要检验其有效性，这可以使用IsBadReadPtr函数或把_lfanew值与文件的大小进行比较来检验

3. 检验PE Header的前四个字节的值是否等于IMAGE_NT_HEADER,若是，则该文件是一个有效的PE文件