e_magic：标记是否是可执行文件，所有PE都要用“MZ”开头，对应4D 5A，填入DOS_MZ的最前面2个字节

填充58个字节0

e_lfanew：PE头相对于DOS头的偏移，由于DOS_STUB大小不固定，所以用该值定位PE头的位置，在DOS_MZ的最后面4个字节

表示指令字节码，可以全填0

完整DOS头如图所示，其中e_lfanew为B0 00 00 00，真实值是反过来也就是00 00 00 B0，DOS开始位置是00 00 00 00，所以PE头的位置是

00 00 00 00+00 00 00 B0=00 00 00 B0，即PE头从00 00 00 B0开始

由signature、IMAGE_FILE_HEADER、IMAGE_OPTION_HEADER三部分组成

标志值为PE00，所以填入50 45 00 00

Machine：PE运行的CPU，Intel平台是01 4C，反过来填入4C 01 ,

NumberOfSections：PE文件段的总数，一共有三个(.text，.rdate，.date)，所以值为00 03，反过来填入03 00

填充12字节0

SizeOfOptionalHeader：表示后面IMAGE_OPTION_HEADER的大小，为224字节，224是00 E0，反过来填入E0 00

Characteristics：成员二进制值0000 0001 0000 1111，即01 0F，填入0F 01

Magic:文件格式 01 0B表示.exe文件，01 07表示ROM映像，所以填入0B 01，

链接程序主版本号和次版本号，各占1字节，初始化为00 00

Sizeofcode：可执行代码对齐后的长度，即.text段对齐后的长度，后面才知道，先填入AA AA AA AA，本实验是200h，即填入00 02 00 00

SizeofInitializedDate：已初始化节的总大小，填入00 00 00 00

SizeofUnitializedDate：未初始化节的总大小，填入00 00 00 00

AddressOfEntryPoint：代码入口的RVA地址，程序的主函数或入口点的地址。这个地址并不一定是代码段.text的起始位置，因为程序可能包含一些初始化代码，后面才知道，先填入AA AA AA AA，本实验是1000h，即填入00 10 00 00

BaseOfCode：.text段的RVA地址，后面才知道，先填入AA AA AA AA，本实验是1000h，即填入00 10 00 00

BaseofDate：.data段的起始RVA，先填入00 00 00 00，本实验是3000h，即填入00 30 00 00

ImageBase：映像基址00 40 00 00，反过来填入00 00 40 00

SectionAlignment：内存字段对齐粒度1000h，00 00 10 00，反过来填入

00 10 00 00

FileAlignment：文件节对齐粒度200h，即00 00 02 00，反过来填入00 02 00 00

操作系统的主版本号、次版本号各2字节，填入00 00 00 00

PE的主版本号、次版本号各2字节，填入00 00 00 00

子系统的主版本号、次版本号各2字节，填入00 00 00 00

Win32version：未使用，填入00 00 00 00

SizeOfImage：映射对齐后占内存的大小：1000h+3*1000h=4000h，即00 00 40 00，反过来填入00 40 00 00

SizeOfHeader：文件所有文件头的长度和

DOS_MZ：64字节

DOS_STUB：不固定，本实验是112字节

Signature：4字节

IMAGE_OPTION_HEADER：224字节

3个段表头每个段表头40，3*40=120

64+112+4+224+120=544，十六进制02 20，由于对齐粒度是200h，所以对齐需要两个200h，即400h，00 00 04 00，反过来填入00 04 00 00

Checksum：校验和，填入00 00 00 00

Subsystem：windows图形程序，值为2，即00 02，反过来填入02 00

Dllcharacteristics：DDL文件特性，填入00 00

SizeOfStackReserver：初始化时的栈大小，填入00 00 00 00

SizeOfStackCommit：初始化时实际提交的栈大小，填入00 00 00 00

SizeOfHeapReserver：初始化时的堆大小，填入00 00 00 00

SizeOfHeapCommit：初始化时实际提交的堆大小，填入00 00 00 00

LoaderFlags：与调试有关，默认为0，填入00 00 00 00

NumberOfRvaAndSizes：DateDirectory项目数量，通常为16个，即10h，填入10 00 00 00

DateDirectory：包含16个元素，每个元素8个字节，第2个元素是IT(导入表)的RVA和大小各4字节，第13个元素是IAT(导入函数地址)的RVA和大小各4字节，都先填为AA AA AA AA AA AA AA AA

最后DOS头加PE头如下

PE头从 00 B0开始

IMAGE_OPTIONAL_HEADER32从00 C8开始

数据目录表从01 28开始

段表由4个段头部组成，有三个段(.text，.data，.edata)，每个段都有一个段头部对应，所以有3个段头部，最后还要1个空的段头部，总共4 个，每个段头部40字节， 所以段表一共160字节

Name:表示段名称，.text对应2E 74 65 78 74 00 00 00，名称不用反写直接填

VirtuaSize：不确定，先填入AA AA AA AA

VirtualAddress：1000h，对应00 00 10 00，填入00 10 00 00

SizeOfRawData：用一个对齐粒度200h，对应00 00 02 00，填入00 02 00 00

PointerToRawData：400h，对应00 00 04 00，填入00 04 00 00

PointerToRelocation：填入00 00 00 00

PointerToLinenumbers：填入00 00 00 00

NumberOfRelocations：填入00 00

NumberOfRelocations：填入00 00

Charayeristics：填入60 00 00 20

Name:表示段名称，.rdata对应2E 72 64 61 74 61 00 00 00，直接填入

VirtuaSize：不确定，先填入AA AA AA AA

VirtualAddress：2000h，对应00 00 20 00，填入00 20 00 00

SizeOfRawData：用一个对齐粒度200h，对应00 00 02 00，填入00 02 00 00

PointerToRawData：600h，对应00 00 06 00，填入00 06 00 00

PointerToRelocation：填入00 00 00 00

PointerToLinenumbers：填入00 00 00 00

NumberOfRelocations：填入00 00

NumberOfRelocations：填入00 00

Charayeristics：填入40 00 00 40

Name:表示段名称，.rdata对应2E 64 61 74 61 00 00 00，直接填入

VirtuaSize：不确定，先填入AA AA AA AA

VirtualAddress：3000h，对应00 00 30 00，填入00 30 00 00

SizeOfRawData：用一个对齐粒度200h，对应00 00 02 00，填入00 02 00 00

PointerToRawData：800h，对应00 00 08 00，填入00 08 00 00

PointerToRelocation：填入00 00 00 00

PointerToLinenumbers：填入00 00 00 00

NumberOfRelocations：填入00 00

NumberOfRelocations：填入00 00

Charayeristics：填入40 00 00 C0

然后再补40字节的0，最后段表如下

块表从01 A8开始

.text块从04 00开始

.rdata块从06 00开始

.data块从08 00开始

DOS头加PE头加段表最后如下

现在一共240h，由于要对齐400h，所以补充0到400h

汇编代码为

6A 00                      push 0                       ;第一个消息框风格（0表示默认风格）

68 00304000       push 0x403000          ;标题字符串所在的地址

68 07304000       push 0x403007           ;内容字符串所在的地址

6A 00                  push 0                         ;消息框所属窗口句柄

FF 15 ????          call ptr[????]                     ;调用MessageBoxA

6A 00                  push 0                         ;ExitProcess函数的参数，程序退出码

FF 15 ????          call ptr[????]             ;调用ExitProcess

call后面地址不确定，先填AA AA AA AA

不算0实际长度只有28字节，即1Bh，在.text段表的VirtualSize从AA  AA  AA  AA改成 1B 00 00 00

最后补齐200h，.text段最后如下

图中相同颜色表示对应关系，例如54 20 00 00指向5C 20 00 00然后指向9D 01 4D 65 73 73 61 67 65 42 6F 78 41

76 20 00 00是DDL1(kernel32.dll)的函数ExitProcess的地址，然后隔4字节0，5C 20 00 00 的DDL2(user32.dll)的函数MessageBoxA的地址，然后隔4字节0

两个导入表描述符

54 20 00 00 00 00 00 00 00 00 00 00 6A 20 00 00 08 20 00 00

4C 20 00 00 00 00 00 00 00 00 00 00 84 20 00 00 00 20 00 00

先分析第一个导入表描述符

54 20 00 00 00 00 00 00 00 00 00 00 6A 20 00 00 08 20 00 00

54 20 00 00即2054，转换成FOA为0654，这个位置对应5C 20 00 00，即205C，再转换成FOA为065C，这个位置对应9D 01…，即指向MessageBoxA函数的开头。6A 20 00 00即206A，转换成FOA为066A，这个位置对应75 73…，即指向user32.dll的开头。08 20 00 00即2008，为user32.dll的RVA

分析第二个导入表描述符

4C 20 00 00 00 00 00 00 00 00 00 00 84 20 00 00 00 20 00 00

4C 20 00 00即204C，转换成FOA为064C，这个位置对应76 20 00 00，即2076，在转换成FOA为0676，这个位置对应80 00 45 78…，即ExitProcess函数的开头。84 20 00 00即2084，转换成FOA为0684，这个位置对应6B 65 72 6E…，即kernel32.dll。00 20 00 00为kernel32.dll的RVA

长度有144字节，即8Fh，在.rdata段表的VirtualSize从AA  AA  AA  AA改成

8F 00 00 00

最后补齐200h，.rdata段最后如下

长度只有16字节，即0E，在.data段表的VirtualSize从AA  AA  AA  AA改成 0E 00 00 00

.data段设置的是弹出窗口的标题和字符串内容，标题设置为TestPE，内容为HelloPE

最后补齐200h，.data段最后如下

因为当时很多地址不确定，全填了AA AA AA AA，所以现在返回修改

SizeOfCode是.text对齐后的长度，即200h，填入00 02 00 00

AddressOfEntryPoint是.text的RVA地址，即1000h，填入00 10 00 00

BaseOfCode是.text的FOA地址，即400h，填入00 02 00 00

修改前

修改后

IAT的RVA为2000h，有多少个导入的DLL就有多少个IAT表项，每个表项有4字节的函数地址和4字节的0，本实验一共要用两个dll(user32.dll和Kernel32.dll)，所以整个IAT大小为16字节，即10h，DataDirectory第13项填为00 20 00 00 10 00 00 00

IT的RVA为2010h，反写为10 20 00 00

导入表描述符20字节，一共2个函数加上一个空导入表描述符即60字节，3Ch，反写为3C 00 00 00

修改前

修改后

两个函数RVA加上ImageBase结果分别为00 40 20 80和00 40 20 00，反过来填08 20 40 00和00 20 40 00

修改前

修改后

把件后缀改成.exe，运行结果如下

使用LordPE软件查看结构

如果想要显示中文编码，例如你好PE，要使用GBK编码，“你好”的GBK编码是C4 E3 BA C3，所以把原来data段的48 65 6C 6C 6F改成C4 E3 BA C3，如下图

运行结果如下