PE文件-NT头

已知整个文件头最开始的部分是DOS存根,从DOS存根后面开始才是PE文件相关的对象,即签名信息PE00开始的地方才需要关注。

如果阅读winnt.h头文件可以发现DOS存根后面的内容其实是NT头,NT即New Technology,新技术,即微软的新技术的产物,因此会看到NT2个字。

%title插图%num

在文件中是叫做_IMAGE_NT_HEADERS,是个结构体,由三部分组成:Signature、FileHeader和OptionalHeader。

Signature,即签名,就是PE00这串ASCII码,FileHeader就是文件头,这是真正的PE头,接着是OptionalHeader,这是可选头。

NT头在微软官方文档里其实就是下面这部分内容:

%title插图%num

微软官方文档将其拆开了介绍,没关系,我们可以从winnt.h头文件里定位到这部分,可以看出这部分就是IMAGE_NT_HEADERS,即NT头。

发表回复