PE文件解析-DOS头解析

PE文件是指windows下的可执行文件：.exe .dll（动态链接库） .sys（驱动程序）这类文件

PE文件概览

 

 

PE文件大致分类

可以分为DOS头，PE头和区块

 

 

DOS头

DOS头对于现在的Windows已经没啥用了，只是用来标记后面的。

DOS头其实就是一个结构体

 

 

 

DOS头的关键字段

e_magic

e_magic是可执行程序中的第一个DOS头的首两个字节，用来标识是否为可执行程序，如果是那么这两个字节的值为MZ

 

 

e_lfanew

e_lfanew这个字段是用来标记，从DOS头的第一个开始，要偏移多少才是PE头的位置也就是最后的四个字节

 

 

对应的一清二楚

 

利用C/C++来写代码检测DOS头

https://www.cnblogs.com/Sna1lGo/p/14440730.html