64 位 Windows 上 PE 文件的最大大小是多少？

Question

在我看来它总是 4GB，因为它使用相同大小的数据类型（A DWORD）？ SizeOfImage 的 DWORD 不总是 32 位吗？或者我对这个限制有什么误解？

回答

4GB 确实似乎是所有可移植可执行文件（32 位和 64 位 PE+）的硬限制。

Answer 1

根据 规范 它是 32 位 < em>PE32+ 图像的无符号值，就像 PE32 图像一样。

但是，在我在 Windows 7 SP1 Home Premium x64 上对 32 位和 64 位应用程序（PE32/PE32+ 文件）进行测试时，两者的最大文件大小在 1.8-1.85GB 之间。

我通过使用 Visual Studio 创建一个非常基本的 C 可执行文件（32 位约为 8K，64 位约为 9K）进行测试，并向 PE 标头添加一个空代码部分，直到 Windows 不再加载它，然后二进制搜索极限。使用 vmmap 查看进程表明，几乎所有前 2GB 地址空间都是映像（包括任何随后加载的 DLL，例如 kernel32.dll）。对于我来说，32 位和 64 位进程的限制是相同的。 64 位进程确实在其 NT 标头的文件标头部分中设置了标志，表明它可以处理大于 2GB 的地址。它还可以为超过 2GB 限制的非图像部分分配内存。

看起来图像需要完全适合进程的 2GB VA 空间，这意味着加载器有效地将 SizeOfImage 视为有符号的 32 位整数。

Answer 2

根据 COFF/PE32规范，有效 PE32+（64 位/(PE+) 文件的图像大小为 4 字节无符号值。

Answer 3

PE 标头中的 ImageSize 字段与 PE 文件在磁​​盘上的文件大小很大程度上无关。 ImageSize 是加载图像的内存大小，即所有部分的大小（每个部分四舍五入到SectionAlignment 边界）+ PE 标头的大小（在下一个标头字段 SizeOfHeaders 中给出）。该值不能> PE32 或 PE32+ 为 2GB，因为 a) 规范如此规定，b) 规范中存在 31 位 RVA，例如在导入查找表中。 RVA 是作为距内存基地址的偏移量给出的内存引用。

虽然那是在记忆中。磁盘上的文件可以包含未加载到内存中的数据（例如调试数据、证书数据）。 PE 规范中的文件指针字段是 32 位无符号值。因此，根据规范，PE文件的理论最大大小为 4GB。

这是根据规范。 PE 规范之外可能存在文件系统、加载程序、操作系统限制，从而进一步降低最大值。