PE文件查看器

关于 PE 文件格式

PE (Portable Executable) 是 Windows 操作系统使用的可执行文件格式，包括 .exe、.dll、.sys、.ocx 等文件类型。PE 格式基于 COFF (Common Object File Format)，是 Windows 平台上程序执行的基础。

PE 文件结构

PE 文件由以下主要部分组成：

1. DOS 头 (DOS Header)

   • 包含传统的 DOS 可执行文件头
   • 以 “MZ” 魔数开始
   • 包含指向 NT 头的偏移量

2. NT 头 (NT Headers)

   • 以 “PE\0\0” 魔数开始
   • 包含文件头和可选头
   • 定义了文件的基本属性

3. 文件头 (File Header)

   • 机器类型 (x86, x64, ARM 等)
   • 节的数量
   • 时间戳
   • 文件特征标志

4. 可选头 (Optional Header)

   • 入口点地址
   • 镜像基址
   • 内存对齐信息
   • 子系统类型
   • 目录表信息

5. 节表 (Section Table)

   • 每个节的信息
   • 虚拟地址和文件偏移
   • 访问权限和特征

6. 导入表 (Import Table)

   • 依赖的动态链接库
   • 导入的函数列表
   • 绑定信息

7. 导出表 (Export Table)

   • 对外导出的函数
   • 函数名称和序号
   • 转发信息

8. 资源 (Resources)

   • 图标、字符串、对话框等资源
   • 版本信息
   • 清单文件

工具特性

• 全面的 PE 解析: 支持解析 PE 文件的所有主要结构
• 十六进制视图: 以十六进制格式显示原始数据
• 结构化显示: 以易读的格式展示解析后的信息
• 多种文件类型: 支持 .exe、.dll、.sys、.ocx 等 PE 格式文件
• 拖拽上传: 支持直接拖拽文件进行分析
• 报告导出: 可以导出详细的分析报告

使用场景

1. 逆向工程: 分析可执行文件的结构和特征
2. 恶意软件分析: 检查可疑文件的基本信息
3. 软件开发: 验证编译器生成的文件结构
4. 系统管理: 了解系统文件的属性和依赖关系
5. 学习研究: 深入理解 PE 文件格式

安全提示

• 本工具只读取文件的结构信息，不执行任何代码
• 建议在隔离环境中分析未知文件
• 对于可疑文件，请使用专业的安全分析工具
• 分析过程中的所有数据都在浏览器本地处理，不会上传到服务器

技术实现

本工具使用纯前端技术实现：

• TypeScript: 类型安全的 PE 解析逻辑
• ArrayBuffer/DataView: 高效的二进制数据处理
• 响应式设计: 支持各种设备和屏幕尺寸
• 无服务器依赖: 所有处理都在客户端完成，保护隐私

常见问题

Q: 支持哪些文件类型？ A: 支持所有标准的 PE 格式文件，包括 .exe、.dll、.sys、.ocx、.scr 等。

Q: 文件大小有限制吗？ A: 为了确保性能，当前限制文件大小为 100MB。

Q: 是否支持 64 位程序？ A: 是的，工具同时支持 32 位 (PE32) 和 64 位 (PE32+) 格式。

Q: 数据会被上传到服务器吗？ A: 不会，所有分析都在浏览器本地进行，保护您的文件隐私。

相关资源

• Microsoft PE/COFF 规范
• PE Format - Wikipedia
• Windows SDK Documentation