本章提要

·           PE文件格式概述

·           PE文件结构

·           如何获取PE文件中的OEP

·           如何获取PE文件中的资源

·           如何修改PE文件使其显示MessageBox的实例

2.1  引言

通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写，它是一种针对于微软Windows NT、Windows 95和Win32s系统，由微软公司设计的可执行的二进制文件（DLLs和执行程序）格式，目标文件和库文件通常也是这种格式。这种格式由TIS（Tool Interface Standard）委员会（Microsoft、Intel、Borland、Watcom、IBM等）在1993进行了标准化。显然，它参考了一些UNIXes和VMS的COFF（Common Object File Format）格式。

认识可执行文件的结构非常重要，在DOS下是这样，在Windows系统下更是如此。了解了这种结构后就可以对可执行程序进行加密、加壳和修改等，一些黑客也利用了这些技术。为了使读者对PE文件格式有进一步的认识，本章从一个程序员的角度出发再次介绍PE文件格式。如果已经熟悉这方面的知识，可以跳过这一章。