我们在上一篇中已经介绍了NT头相关的结构,接下来分别具体的介绍里面的数据。
首先介绍IMAGE_FILE_HEADER 的结构,如下:
typedef struct _IMAGE_FILE_HEADER
{
WORD Machine; // 运行平台
WORD NumberOfSections; // 文件的区块数目
DWORD TimeDateStamp; // 文件创建日期和时间
DWORD PointerToSymbolTable; // 指向符号表(主要用于调试)
DWORD NumberOfSymbols; // 符号表中符号个数(同上)
WORD SizeOfOptionalHeader; // IMAGE_OPTIONAL_HEADER32 结构大小
WORD Characteristics; // 文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
在010Editor中,文件头显示信息,如下:
在LoadPE工具中,文件头显示信息,