PE笔记之NT头PE签名

typedef struct _IMAGE_NT_HEADERS {
 
    DWORD Signature;                     　　//PE头签名PE\0\0
 
    IMAGE_FILE_HEADER FileHeader;           //PE文件头(http://www.cnblogs.com/zheh/p/4013705.html)
 
    IMAGE_OPTIONAL_HEADER32 OptionalHeader; //PE扩展头(http://www.cnblogs.com/zheh/p/4013710.html)
 
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
 Signature 字段：
 在一个有效的 PE 文件里，Signature 字段被设置为00004550h, ASCII 码字符是“PE00”。标志这 PE 文件头的开始。
 “PE00” 字符串是 PE 文件头的开始，DOS 头部(http://www.cnblogs.com/zheh/p/4013658.html)的 e_lfanew 字段正是指向这里。

posted @ 2014-10-09 13:44 破冰Lab-Cookun 阅读(819) 评论(0) 收藏举报

刷新页面返回顶部

Cookun

PE笔记之NT头PE签名

公告