PE的意思就是這個 the Protable Executable (PE) file format 微軟搞得那么一套東西，字面意思是可移植的，但是現實使用中沒見他多么的可移植，PE格式借鑒了UNIX系統中的COFF (Common Object File Format) 格式。而且PE對MS-Dos的兼容，保留了MS-Dos頭，在dos下打開會提示 “這是win32程序在dos下不能跑” 向下兼容，非常的友好。

MS-DOS MZ header 的結構是這樣的

MS-DOS MZ header

其中比較關鍵的成員是這個 e_lfanew 它指向了PE文件頭在PE文件中的相對虛擬地址RAV(Relative Virtual Addresses)，e_magic的值應該等于 0x5A4D 是MS-DOS MZ header的標志 MZ好像是個程序員名字的縮寫 其他成員基本沒啥大用，一些加殼軟件會修改它的成員為自己的節騰出空間，或者在添加節形式感染時節表尾部的空隙不夠寫入一個新的解表結構的時候把IMAGE_DOS_HEADE 和 IMAGE_NT_HEADER 融合。

可以自己寫一個小程序來輸出一下IMAGE_DOS_HEADE

IMAGE_DOS_HEADE這個結構體定義在windows.h中

系統加載PE格式的文件時，會先加載IMAGE_DOS_HEADE這個結構體，再根據結構體里的e_lfanew提供的相對偏移找到PE文件頭。

用c語言可以直接讀出IMAGE_DOS_HEADE這個結構體，下面開始寫。

從文件的開始位置讀取IMAGE_DOS_HEADE結構體

吧文件指針移動到e_lfanew所指的相對偏移，即PE文件頭



讀取PE文件標志，這個PE Signature是 PE\0\0 這樣一個值，證明它是PE格式的身份。


這個判斷中大寫的變量都是，windows.h中的常數

 

IMAGE_NT_SIGNATURE 的值是 PE\0\0

IMAGE_DOS_SIGN

ATURE 的值是 MZ

具體的定義可以自己去windows.h中看

下面是完整的程序

最后附上參考文章的地址

 

http://xue23.blog.163.com/blog/static/9793442005431142120/

http://bbs.fishc.com/home.php?mod=space&uid=9&do=blog&id=558

Peering Inside the PE.pdf

 

http://xue23.blog.163.com/blog/static/9793442005431142120/