PE文件格式详解(3)

1.节区头

    节区头中定义了各节区的属性。PE文件中的code（代码）、data（数据）、resource（资源）等按照属性分类存储在不同节区，这样可以保证程序的安全性。

    IMAGE_SECTION_HEADER

    节区头是由IMAGE_SECTION_HEADER结构体构成的数组，每个结构体对应一个节区。

代码     IMAGE_SECTION_HEADER结构体

#define IMAGE_SIZEOF_SHORT_NAME

typedef struct _IMAGE_SECTION_HEADER{

BYTE    NAME[IMAGE_SIZEOF_SHORT_NAME];

union {

              DWORD    PhysicalAddress;

              DWORD    VirtualSize;

   }Misc;

DWORD    VirtualAddress;

DWORD    SizeOfRawData;

DWORD    PointerToRawData;

DWORD    PointerToLinenumbers;

DWORD    NumberOfRelocations;

DWORD    NumberOfLinenumbers;

DWORD    Characteristics;

}    IMAGE_SECTION_HEADER, *.PIMAGE_SECTION_HEADER;

IMAGE_SECTION_HEADER结构体的重要成员

                项目                               含义

            VirtualSize                    内存中节区所占大小

            VirtualAddress            内存中节区起始地址（RVA）

            SizeOfRawData            磁盘文件中节区所占大小

            PointerToRawData      磁盘文件中节区起始位置

            Characteristics             节区属性（bit  OR）

VirtualAddress与PointerToRawData不带有任何值，分别由（定义在IMAGE_OPTIONAL_HEADER32）SectionAlignment和FileAlignment确定。

VirtualSize与SizeOfRawData一般具有不同的值（即磁盘文件中节区的大小与加载到内存中的节区大小是不同的）。

Characteristics显示值的组合（bit OR）而成

#define IMAGE_SCN_CNT_CODE                        0x00000020    //Section contains code.

#define IMAGE_SCN_CNT_INITIALIZED                0x00000040    //Section contains initialized data. 

#define IMAGE_SCN_CNT_UNINITIALIZED           0x00000080    //Section contains unitialized data.

#define IMAGE_SCN_MEN_EXECUTE                    0x20000000    //Section is executable.

#define IMAGE_SCN_MEN_READ                         0x40000000    //Section is readable.

#define IMAGE_SCN_MEN_WRITE                        0x80000000    //Section is writable.

Name字段

    Name成员不像C语言中的字符串一样以NULL结束（没有“必须使用ASCII值”的限制，对Name未明确规定），所以可以放入任何值，甚至可以填充NULL值。（数据节区的名称也可以叫做.code）

使用010 Editor查看notepad.exe的节区头数组(共有3个节区）。