逆向分析方向

PE结构

1.组成:dos头，NT头

DOS头是用来兼容之前的DOS系统的，为了提醒用户此程序不能在DOS系统上运行（This program cannot be run in DOS mode），如图所示：

 

 可执行文件（.exe）结构的常用文件头：4D 5A

PE结构标志：50 45

 

在看到之前的PE结构标志的文章时，还曾经看到后面的L字符标志这是一个32位程序，d？表示这是一个64位程序。

 在结构IMAGE_FILE_HEADER中的machine字段中，标志着这个程序可以运行在什么架构的CPU之上，标志所对应的CPU如图所示(来自CSDN):