3
PE文件中偏移量为0x3c的PE头的指针是否始终设置为0x80?PE文件中偏移量为0x3c的PE头的指针是否始终设置为0x80?
我想知道为什么这个指针会改变。我想DOS标题和存根没有改变,因为它们是第一次写入。
PE-header在这些DOS工件之后直接启动,那么PE指针是否始终设置为0x80?如果不是,为什么?
A
回答
2
否,则在偏移为0x3C PE-头 - 这是IMAGE_DOS_HEADER.e_lfanew其可以是任何值> = 0x40的
8
许多程序具有其在DOS存根后所附,由推NT标头向下一个Rich signature可变金额。
它也完全可以使用不同的DOS存根,或根本没有。它不需要打印“这个程序不能在DOS模式下运行”,你可以在那里放一个小型的DOS游戏,一个硬盘滑动器,打印完全不同的东西,无论你想要什么。
你甚至可以,如果你小心,overlap the NT header with the DOS header,因此使用偏移量< 0x40。这甚至不是太难,因为DOS标题的唯一部分是e_lfanew和“MZ”,其他所有内容都可以是使NT标题起作用的必要条件。你只需要将e_lfanew与可以安全地拥有该值的NT标头的一部分对齐。
相关问题
- 1. PE头基址偏移
- 2. 指针是否始终设置为零?
- 3. 通过PE头找出PE文件结束的位置?
- 4. 什么是PE头文件中的CheckSum?
- 5. PE头的大小
- 6. 什么领域的PE头文件告诉你是否一个有效的PE文件?
- 7. 为什么PE文件中的MZ DOS标头签名0x54AD?
- 8. 大于2GB的PE文件
- 9. 如何理解此图中的PE头?
- 10. 在命令行中设置IPV6,Win PE
- 11. 读取C中的PE文件
- 12. PE注射图像迁移
- 13. 如何为RichMarker设置偏移量?
- 14. 为什么不是RandomAccessFile.seek(0);将指针移回文件的起始位置?
- 15. PE文件的封装器检测
- 16. 自定义命名的PE文件和头
- 17. 带偏移量的结构指针
- 18. 从PE文件中删除DOS存根
- 19. 从PE文件中提取字符串
- 20. 仅为开始设置重复动画的起始偏移
- 21. 在C中使用指针偏移量#
- 22. iOS:文件上的偏移量字节指针?
- 23. .h中的指针是否会自动设置为NULL?
- 24. Pe编辑库?
- 25. Windows PE资源
- 26. 什么是/ cdn-cgi/pe/bag2?
- 27. PE文件中的MZ签名是什么?
- 28. .Net PE文件中的入口点RVA是什么?
- 29. fgets()是否移动文件指针?
- 30. 为什么PE需要Original First Thunk(OFT)?
谢谢,我的PE图表都没有显示Rich签名。此外,DOS存根(stub)不是PE标准的一部分(我的意思是它的内容)? – Shuzheng
@NicolasLykkeIversen 我100%确定你可以放在任何你想要的DOS存根(只要它是正确的DOS可执行文件,它将被正确运行)。一些简单的应用程序甚至使用它来提供多平台可执行文件,因此它可以在DOS和Windows中运行。 – Ped7g