解密系列（系统篇_PE结构详解笔记3）

IMAGE_OPTIONAL_HEADER32 叫可选映象头结构，定义在IMAGE_FILE_HEADER结构里面的第三个字段。虽然名字上说是可选的，但是它要与IMAGE_OPTONAL_HEADER结合起来，才是一个完整的“PE文件结构”。

typedef struct _IMAGE_OPTIONAL_HEADER

{

//

// Standard fields.

//

+18h WORD Magic; // 标志字, ROM 映像（0107h）,普通可执行文件（010Bh）

+1Ah BYTE MajorLinkerVersion; // 链接程序的主版本号

+1Bh BYTE MinorLinkerVersion; // 链接程序的次版本号

+1Ch DWORD SizeOfCode; // 所有含代码的节的总大小

+20h DWORD SizeOfInitializedData; // 所有含已初始化数据的节的总大小

+24h DWORD SizeOfUninitializedData; // 所有含未初始化数据的节的大小

+28h DWORD AddressOfEntryPoint; // 程序执行入口RVA

+2Ch DWORD BaseOfCode; // 代码的区块的起始RVA

+30h DWORD BaseOfData; // 数据的区块的起始RVA

//

// NT additional fields. 以下是属于NT结构增加的领域。

//

+34h DWORD ImageBase; // 程序的首选装载地址

+38h DWORD SectionAlignment; // 内存中的区块的对齐大小

+3Ch DWORD FileAlignment; // 文件中的区块的对齐大小

+40h WORD MajorOperatingSystemVersion; // 要求操作系统最低版本号的主版本号

+42h WORD MinorOperatingSystemVersion; // 要求操作系统最低版本号的副版本号

+44h WORD MajorImageVersion; // 可运行于操作系统的主版本号

+46h WORD MinorImageVersion; // 可运行于操作系统的次版本号

+48h WORD MajorSubsystemVersion; // 要求最低子系统版本的主版本号

+4Ah WORD MinorSubsystemVersion; // 要求最低子系统版本的次版本号

+4Ch DWORD Win32VersionValue; // 莫须有字段，不被病毒利用的话一般为0

+50h DWORD SizeOfImage; // 映像装入内存后的总尺寸

+54h DWORD SizeOfHeaders; // 所有头 + 区块表的尺寸大小

+58h DWORD CheckSum; // 映像的校检和

+5Ch WORD Subsystem; // 可执行文件期望的子系统

+5Eh WORD DllCharacteristics; // DllMain()函数何时被调用，默认为 0

+60h DWORD SizeOfStackReserve; // 初始化时的栈大小

+64h DWORD SizeOfStackCommit; // 初始化时实际提交的栈大小

+68h DWORD SizeOfHeapReserve; // 初始化时保留的堆大小

+6Ch DWORD SizeOfHeapCommit; // 初始化时实际提交的堆大小

+70h DWORD LoaderFlags; // 与调试有关，默认为 0

+74h DWORD NumberOfRvaAndSizes; // 下边数据目录的项数，这个字段自Windows NT 发布以来一直是16

+78h IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // 数据目录表

} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

AddressOfEntryPoint字段：文件被执行时的入口地址，这是一个RVA（相对虚拟地址）。如果在一个可执行文件上想附加一段代码让它先被执行，就只需将入口地址指向附加的代码即可。

ImageBase字段：当我们文件被执行的时候，如果可能的话，系统由于优先将文件装入到由ImageBase字段指定的地址中，只有指定的地址已经被其他模块使用时，文件才被装到其他地址中。对于EXE来说，每个文件总是使用独立的虚拟地址空间，优先装入地址不可能被其他模块占据，也就意味着EXE文件不在需要重定位信息。但对于DLL来说，多个DLL文件全部使用宿主EXE文件的地址空间，不能保证优先装入地址没有被其他的DLL使用，所以DLL文件必须包含重定位信息以防万一。

SectionAlignment字段和FileAlignment字段：前一个字段指定节被装入内存后的对齐单位，也就是说，每个节被装入的地址必须是本子段指定数值的整数倍。而后一个字段指定节存储在磁盘文件中的对齐单元。

Subsystem字段：这个程序需要的是哪种子系统，是图形界面的还是控制台界面等。

DataDirectory字段：这是最重要的字段之一，是我们的数据目录表。我们的整个程序要么就是代码要么就是数据，这个字段事实上是一个数组，有十六个元素，在这个字段前面有NumberOfRvaAndSizes字段，定义的是数据目录的项数。这十六个元素到底是干嘛的呢？先看这个IMAGE_DATA_DIRECTORY结构：

typedef struct _IMAGE_DATA_DIRECTORY

{

DWORD VirtualAddress; //数据起始的RVA

DWORD Size; //数据块的长度

} IMAGE_DATA_DIRECTORY,*PIMAGE_DATA_DIRECTORY;



十六个成员分别如上，我们主要需要了解的是导出表和导入表、资源表、重定位表， 当我们的程序要需要用到什么DLL的某个函数时，就需要将这个DLL装入内存，然后将相应的函数地址放到导出表和导入表中，资源表存放的东西很多，例如说鼠标的类型、图片的类型等等，重定位后面再说。

当我们写一个病毒的时候，病毒需要用到的一些函数，可能就存在导出表和导入表中，我们需要窃取这些函数，然后使用，神不知鬼不觉。总之， 在PE文件中寻找特定的数据时，我们就要通过这个数据目录表，查找指定的数据块，从中获取数据。