ReadPE_Head

ReadPE_Head官方版是一款小巧专业的PE文件头结构查看工具，ReadPE_Head官方版功能强劲，便捷好用，能够用于查看exe、dll、ocx、com等pe文件的头结构，让用户详细了解PE结构。

软件特点

PE文件总的来说是由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成。其实，如果在纯Windows环境下运行，DOS文件头、DOS加载模块根本是用不上的，加上两个DOS相关的结构完全是为了兼容性问题。

最近在学习PE ，写了个查看PE头部和导入导出表重定位表，PE区段的有效信息的ReadPE_Head官方版工具，分享给大家。

PE文件入门：

PE文件总的来说是由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成。其实，如果在纯Windows环境下运行，DOS文件头、DOS加载模块根本是用不上的，加上两个DOS相关的结构完全是为了兼容性问题。

为了方便观察与理解，我们可以通过观察图1大体了解PE文件的结构。

如图可知，整个程序就是以DOS文件头“MZ”开始的，接下来就是DOS加载模块“This program cannot be run in DOS mode”，几乎每个Windows程序的前面都是这样一些信息!

下面有一个以字母“PE”为开头的文件块，这就是大名鼎鼎的PE文件头了，PE文件头的标准大小为224个字节，由图可见，里面有一个画了横线标记的问号与左面的十六进制信息“E0”相对应，这便是PE文件头体积的描述标记，十六进制的“E0”等于十进制的“224”由此也不难看出PE文件头的大小为224个字节。

再往下就是以“.text”、“ .data”与“.rsrc”组成的区段表了。区段表也称节表，它的作用就相当于一本书中的目录，你想看哪一章哪一节，只要按着目录标注的页数去找就可以，PE文件的区段表也是起同样的作用，但是区段表除此之外还包含有各个区段的读写权限信息。而图中的“.text”、“ .data”与“.rsrc”则是这个程序里的区段名称，也称为“节”。由此可见这个程序是由“.text”、“ .data”与“.rsrc”这3个区段组成的，如图2。

其实通过区段名称就可以大体猜出来这个区段里包含什么信息，在整个程序中能起到什么作用等等。