1, PE文件头(PE Header ) 紧挨着 DOS stub
2, PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称。里面包含着许多PE装载器用到的重要字段。
3,执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 IMAGE_DOS_HEADER 结构中的 e_lfanew 字段里找到PE Header的其实偏移量,加上基地址就得到PE文件头的指针。
PE文件头计算公式:
PNTHeader = ImageBase + dosHeader->e_lfanew