PE文件基本结构如下;
学习一下NT头;
NT头,包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_HEADER(扩展头)。
NT头:Signature,文件头,扩展头;
其定义如下; 这个是微软定义的;
typedef struct _IMAGE_NT_HEADERS {
DWORD Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
Signature 字段被设置为 0x00004550H,ASCII 码字符是 PE00;
用winhex打开win自带的记事本看一下;
当前NT头的Signature在偏移为000000F0的一行;
NT头不在一个固定位置;我还不是很清楚;其位置可能是由DOS头的e_lfanew字段指出;
PE文件头定义了PE文件的一些基本信息和属性,这些属性会在PE加载器加载时用到,如果加载器发现PE文件头中定义的一些属性不满足当前的运行环境,将会终止加载该PE;
可选头,它在不同的平台下是不一样的,例如32位下是IMAGE_OPTIONAL_HEADER32,而在64位下是IMAGE_OPTIONAL_HEADER64;