科技大学学士学位论文6+0chWORDe_maxalloc;运行需最大段数+0ehWORDe_ss;代码的初始化堆栈SS+10hWORDe_sp;代码的初始化堆栈指针SP+12hWORDe_csum;校验和为0+14hWORDe_ip;DOS代码的初始化指令入口[指针IP]+16hWORDe_cs;初始CS+18hWORDe_lfarlc;重定位表位置+1ahWORDe_ovno;覆盖号+1chWORDe_res[4];保留字+24hWORDe_oemid;OEM标识符+26hWORDe_oeminfo;OEM信息+29hWORDe_res2[10];保留字+3chDWORDe_lfanew;PE文件头偏移,指定了PE文件头的位置}IMAGE_DOS_HEADERENDSIMAGE_DOS_HEADER中有两个重要的域:e_magic和e_lfanew。PE文件开始的标志字均为”MZ”(MarkZbikowski,DOS操作系统的开发者之一),Windows的装载器通过查看e_magic是否为”MZ”来判断文件是否是合法的PE文件,在病毒感染的时候也会通过该域来判断。由于DOSStub的长度不固定,导致了DOS头也不是一个固定大小的数据结构,所以通过e_lfanew域来定位标准PE头所在的位置。2.2.2PE头结构IMAGE_NT_HEADERS是广义上的PE头,它是由以下三个数据结构组合而成:4个字节的PE标识、IMAGE_FILE_HEADER、IMAGE_OPTIONAL_HEADER32。具体结构如下:IMAGE_NT_HEADERSSTRUCT;NT,即PE文件头{+0hDWORDSignature;PE文件标识+4hIMAGE_FILE_HEADERSTRUCT+04hWORDMachine;运行平台+06hWORDNumberOfSections;PE中的节数
全文预览
