Формат исполняемых PE-файлов
Таблица объектов (сессий) файла (Object Table)

Число входов в таблице объектов (секций) определяется полем Num of Objects заголовка PE Header. Входы в таблице объектов нумеруются начиная с 1. Сама таблица располагается непосредственно за PE Header. Последовательность секций кода и данных в памяти выбирается линкером. Виртуальные адреса объектам должны быть присвоены линкером в возрастающем порядке и являются кратными Object align в заголовке PE Header. Стоит заметить, что текущая реализация загрузчика Windows'95 не различает порядка объектов (секций) в таблице, поэтому можно смело располагать их в произвольном порядке. Каждая секция (объект) располагает именем, которое никого ни к чему не обязывает, имя может быть произвольным, но вообще-то смысл содержания секции и ее наименования как правило совпадают.
Object Entry

Base	Size or Type	Name Of field	Brief description
00h	08h	Object Name	Имя объекта, остаток заполнен нулями, если имя объекта имеет длину 8 символов, то заключительного 0 нет. Некоторые PE дамперы падают на этом факте. Имя - штука отфонарная и никого ни к чему не обязывает.
08h	DWord	Virtual Size	виртуальный размер секции, именно столько памяти будет отведено под секцию. Если Virtual Size превышает Physical Size, то разница заполняется нулями, так определяются секции неинициализированных данных (Physical Size = 0)
0Ch	DWord	Section RVA	размещение секции в памяти, виртуальный ее адрес относительно Image Base. Позиция каждой секции выравнена на границу Object align (степень 2 от 512 до 256М включительно, по умолчанию 64К) и секции упакованы впритык друг к другу, впрочем, можно это не соблюдать.
10h	DWord	Physical Size	размер секции (ее инициализированной части) в файле, кратно полю File align в заголовке PE Header, должно быть меньше или равно Virtual Size. Играя с этим полем можно добиться некоторых результатов ;-) загрузчик по идее хлопает всю секцию в отведенное ОЗУ
14h	DWord	Physical Offset	физическое смещение относительно начала EXE файла, выровнено на границу File align поля заголовка PE Header. Смещение используется загрузчиком как seek значение.
18h	0Ch	Reserved	зарезервировано для OBJ файла, в экзешниках смысла не имеет
28h	DWord	Object Flags	битовые флаги секции, см.ниже

Total Structure size

2Ch

Общий размер описателя секции

Object Name несколько примеров из жизни:

.text	- сюда Микрософт бросает выполнимый код
CODE	- а Борланд любит это делать здесь
.icode	- переходники импорта старых версий TLINK32
.data	- Микрософт швыряет данные сюда
DATA	- а Борланд сюда
.bss	- неинициализированные данные (равна 0 в файле)
.CRT	- инициализированные данные C/C++ от Борланда
.rsrc	- ресурсы
.idata	- секция импорта
.edata	- секция экспорта
.reloc	- таблица настроек
.tls	- данные на базе которых Windows запускает цепочки
.rdata	- отладочная информация
_FREQASM	- посмотрите в KERNEL32, я думаю, и так понятно
PROTECTED	- это взято из Хасповского сервера, вот так
. . . . .	- и так далее

Как можно заметить - имя секции значит некоторые вещи, но вообще-то не определяет ничего ;-) Следует еще раз предупредить! Экзешник может содержать одну единственную секцию, в которую можно натолкать все. И это будет работать!
Object Flags имеет следующие значения:

• 00000004h - используется для кода с 16 битными смещениями
• 00000020h - секция кода
• 00000040h - секция инициализированных данных
• 00000080h - секция неинициализированных данных
• 00000200h - комментарии или любой другой тип информации
• 00000400h - оверлейная секция
• 00000800h - не будет являться частью образа программы
• 00001000h - общие данные
• 00500000h - выравнивание по умолчанию, если не указано иное
• 02000000h - может быть выгружен из памяти
• 04000000h - не кэшируется
• 08000000h - не подвергается страничному преобразованию
• 10000000h - разделяемый
• 20000000h - выполнимый
• 40000000h - можно читать
• 80000000h - можно писать

Все прочие значения зарезервированы и должны быть установлены в 0. Большинство значений в Windows'95 не используется, наверняка не все используются даже в NT.

[Оглавление]