PE的基本概念

PE的基本概念

PE（Portable Execute）文件是Windows下可执行文件的总称，常见的有DLL，EXE，OCX，SYS等，事实上，一个文件是否是PE文件与其扩展名无关，PE文件可以是任何扩展名。

PE文件并不是作为单一内存映射文件被装入内存，Windows加载器（又称PE加载器）遍历PE文件并决定文件的哪一部分被映射，这种映射方式是将文件较高的偏移位置映射到较高的内存地址中。PE文件的结构在磁盘和内存中是基本一样的，但在装入内存中时又不是完全复制。Windows加载器会决定加载哪些部分，哪些部分不需要加载。而且由于磁盘对齐与内存对齐的不一致，加载到内存的PE文件与磁盘上的PE文件各个部分的分布都会有差异。

PE文件至少包含两个段，即数据段和代码段。Windows NT 的应用程序有9个预定义的段，分别为 .text 、.bss 、.rdata 、.data 、.pdata 和.debug 段，这些段并不是都是必须的，当然，也可以根据需要定义更多的段（比如一些加壳程序）。

在应用程序中最常出现的段有以下6种：
.执行代码段，通常 .text （Microsoft）或 CODE（Borland）命名；
.数据段，通常以 .data 、.rdata 或 .bss（Microsoft）、DATA（Borland）命名；
.资源段，通常以 .rsrc命名；
.导出表，通常以 .edata命名；
.导入表，通常以 .idata命名；
.调试信息段，通常以 .debug命名；