Zararlı yazılım analizi yaparken, PE (Portable Executable) dosya başlıkları Imports olarak adlandırılan içe aktarılan işlevlere göre çok daha fazla bilgiyi sağlayabilirler. PE dosya biçimi bir başlık ve ardından bir dizi bölüm içerir.
Dosya başlığı (header) dosyanın kendisiyle ilgili meta veriler içerir. Başlığın ardından dosyanın her biri yararlı bilgiler içeren gerçek bölümler bulunur.
- .text
- .rdata
- .idata
- .edata
- .data
- .pdata
- .rsrc
- .reloc
.text
Çalıştırılabilir kodlar bu bölümde bulunur. Diğer tüm bölümlerde veri ve programda kullanılan destekleyici bilgiler yer alırken bu bölümde genelde sadece çalıştırılabilir kodlar yer alır.
.rdata
Bu bölümde import ve export bilgileri yer alır. Ayrıca program tarafından kullanılan salt okunur veriler de bu bölümde tutulur. Bazen .idata ve .edata bölümlerini de içerir.
.data
Bu bölümde programın herhangi bir yerde kullanacağı global veriler tutulur. Yerel veriler bu bölümde ya da PE dosyasının herhangi bir yerinde tutulmazlar.
.pdata
Sadece 64-bit çalıştırılabilir programlarda yer alır ve hata işleme (exception-handling) bilgilerini depolar.
.rsrc
Çalıştırılabilir programın kullandığı resimler, simgeler, karakterler (strings) ve menüler bu bölümde yer alır. Kısacası programın ihtiyaç duyduğu kaynakları depolar.
.reloc
Kütüphane dosyalarının yerlerini değiştirmeyle ilgili bilgilerin tutulduğu bölümdür.