Portable Executable

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Portable Executable beschreibt ein Binärformat ausführbarer Programme, sogenannte PE-Dateien. Es ist das Dateiformat, das bei Win32- und Win64-Systemen für ausführbare Dateien verwendet wird. Außerdem ist es das Format für ausführbare Dateien in EFI-Umgebungen. Es basiert auf dem COFF-Binärformat.[1]

Mögliche Dateiendungen sind zum Beispiel:

Außer der Erweiterung .exe, die eine Datei als eigenständiges Programm identifiziert, ist das PE-Format nicht an eine Erweiterung gebunden. Programmiertechnisch kann das System dazu gebracht werden, Code in jeder im PE-Format vorliegenden Datei auszuführen.

DLL-Dateien können beispielsweise Funktionen exportieren, die von anderen Programmen aufgerufen werden. Bei DRV- und SYS-Dateien handelt es sich in der Regel um Gerätetreiber, welche von Windows verwendet werden, um die Hardware anzusteuern.

Neben Windows verwendet auch ReactOS das PE-Dateiformat und ermöglicht so (zurzeit nur sehr beschränkt) die Ausführung von Windows-Programmen. Frühe Versionen von BeOS sowie SkyOS verwendeten ebenfalls das PE-Dateiformat für ihre ausführbaren Programme. Da sie aber eine andere Programmierschnittstelle (API) verwendeten, waren sie nicht binärkompatibel zu Windows und beabsichtigten dies auch gar nicht. SkyOS verwendet inzwischen das verbreitete ELF-Format, welches zuvor mit dem Betriebssystem Linux populär wurde, da es dort das Standardformat für Binärprogramme ist.

Windows-Dateien im PE-Format lassen sich unter Linux mit Hilfe von WINE und unter DOS teilweise mit Hilfe des HX DOS Extenders ausführen.

Aufbau[Bearbeiten]

Jede PE-Datei beginnt mit dem aus DOS-Zeiten bekannten MZ-Header. Dieser dient hier in erster Linie dazu, ein EXE-Programm, das nicht für ein DOS-Betriebssytem bestimmt sind, mit einer Fehlermeldung (z. B. „This program cannot be run in DOS Mode“) zu beenden, falls versucht wird, es doch unter DOS zu starten. Am Anfang einer PE-Datei sind daher, wie bei jeder EXE-Datei von MS-DOS, die zwei Buchstaben „MZ“ zu finden, die Initialen von Mark Zbikowski, dem Entwickler des DOS-Programmformats. Technisch gesehen handelt es sich bei dem Code, der die Fehlermeldung ausgibt, um ein vollständiges DOS-Programm, das entsprechend programmiert unter DOS auch andere Funktionen als eine Fehlermeldung haben kann.

Das letzte Feld im DOS-Header verweist auf die Position des PE-Headers, der dann auch mit der ASCII-Kennung „PE“ beginnt.

Der eigentliche PE-Header besteht aus zwei Teilen, dem IMAGE_FILE_HEADER, der die Anzahl der Segmente, den erforderlichen CPU-Typ und weitere Flags enthält, sowie dem IMAGE_OPTIONAL_HEADER (der trotz des Namens nicht optional ist). Dieser enthält unter anderem die Größe der einzelnen Code- und Datensegmente in der Datei sowie weitere Angaben über die benötigten Ressourcen (Speicher, Betriebssystemversion).

Einzelnachweise[Bearbeiten]

  1. http://support.microsoft.com/?id=121460

Weblinks[Bearbeiten]

  • pedump.me Online Betrachter + [Disassembler] für PE-Files
  • CFF Explorer Editor für ausführbaren PE32/64 Dateien.