源代碼如下: typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature; // 固定為 0x00004550 根據小端存儲為:"PE.." +04h IMAGE_FILE_HEADER FileHeader; +18h IMAGE_OPTIONA... ...
源代碼如下:
typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature; // 固定為 0x00004550 根據小端存儲為:"PE.." +04h IMAGE_FILE_HEADER FileHeader; +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
Signature欄位
在一個有效的 PE 文件里,Signature 欄位被設置為0x00004550, ASCII 碼字元是“PE00”。標誌這 PE 文件頭的開始。
PE00” 字元串是 PE 文件頭的開始,DOS 頭部的 e_lfanew 欄位正是指向這裡。
如下圖所示:
再來一個例子:
