最后一个字段,也就是e_lfanew,的值表示PE头相对于文件首部的偏移,也就是说,在它的值所对应的位置,就是PE头的地址,
|
数据结构名称 |
值 |
||||||||||||||||||||||||||||||||||||
|
e_magic: |
0x5A4D->‘MZ’ |
e_cblp: |
0x0090 |
e_cp: |
0x0003 |
e_crlc: |
0x0000 |
e_cparhdr: |
0x0004 |
e_minalloc: |
0x0000 |
e_maxalloc: |
0xFFFF |
e_ss: |
0x0000 |
e_sp: |
0x00B8 |
e_csum: |
0x0000 |
e_ip: |
0x0000 |
e_cs: |
0x0000 |
e_lfarlc: |
0x0040 |
e_ovno: |
0x0000 |
e_res: |
0x0000000000000000 |
e_oemid: |
0x0000 |
e_oeminfo: |
0x0000 |
e_res2: |
0x0000000000000000000000000000000000000000 |
e_lfanew: |
0x000000F8 |