1.m_dos頭部結構體:
image_dos_header structimage_dos_header ends
1.該結構有兩個重要的成員
dword e_magic和long e_lfanew。dword e_magic為"mz",定義為image_dos_signature。long e_lfanew存放pe頭的檔案偏移量。
#define image_dos_signature 0x4d5a //mz#define image_os2_signature 0x4e45 //
ne#define image_os2_signature_le 0x4c45 //
le#define image_nt_signature 0x50450000 //
pe00
2.dos stub
它是乙個總是由大約100個位元組所組成的和ms-dos 2.0相容的可執行體,用來輸出象
「this program needs windows nt」之類的錯誤資訊。win32系統都直接跳過dos stub定
位到pe頭。
PE檔案學習 Dos頭部
pe portable executeable file format 可移植的執行文體格式,我們平時常見的exe dll sys等都是pe檔案的一種。pe檔案的組成可以被分為pe head和pe body,我們先從pe檔案頭的dos頭部說起。dos頭部分為兩部分 第一部分是dos mz頭第二部分是...
PE檔案學習 Nt頭部
當我們越過dos stub之後就來到了image nt headers,這個結構在32位和64位下的大小是不一樣的,這個結構體緊跟在dos stub之後,結構體看起來只有三個成員,接下來我們來乙個乙個細細解剖 typedef struct image nt headers64 image nt he...
PE檔案詳解(一)
signature peimage file header image optional header32 0x3c e lfanew pe 檔案頭偏移 0x06 numberofsections 區段數量 0x14 sizeofoptionalheader 擴充套件頭大小 0x16 charact...