IMAGE_FILE_HEADER这个结构的定义如下:

typedef struct _IMAGE_FILE_HEADER {

00h   WORD    Machine;              //运行平台

02h   WORD    NumberOfSections;          //区块数目

06h   DWORD   TimeDateStamp;            //文件日期时间戳

0Ah   DWORD   PointerToSymbolTable;      //指向符号表

0Eh   DWORD   NumberOfSymbols;         //符号表中的符号数量

12h   WORD    SizeOfOptionalHeader;    //映像可选头结构的大小 224

14h   WORD    Characteristics;          //文件特征值

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

这个结构体表明一个PE文件的基本特征属性,也是一个PE文件的入口

Machine域说明这个pe文件在什么CPU上运行,具体如下:

    #define IMAGE_FILE_MACHINE_UNKNOWN     0

    #define IMAGE_FILE_MACHINE_I386        0x014c  // Intel 386.

    #define IMAGE_FILE_MACHINE_R3000       0x0162  // MIPS little-endian, 0x160 big-endian

    #define IMAGE_FILE_MACHINE_R4000       0x0166  // MIPS little-endian

    #define IMAGE_FILE_MACHINE_R10000      0x0168  // MIPS little-endian

    #define IMAGE_FILE_MACHINE_WCEMIPSV2   0x0169  // MIPS little-endian WCE v2

    #define IMAGE_FILE_MACHINE_ALPHA       0x0184  // Alpha_AXP

    #define IMAGE_FILE_MACHINE_POWERPC     0x01F0  // IBM PowerPC Little-Endian

    #define IMAGE_FILE_MACHINE_SH3         0x01a2  // SH3 little-endian

    #define IMAGE_FILE_MACHINE_SH3E        0x01a4  // SH3E little-endian

    #define IMAGE_FILE_MACHINE_SH4         0x01a6  // SH4 little-endian

    #define IMAGE_FILE_MACHINE_ARM         0x01c0  // ARM Little-Endian

    #define IMAGE_FILE_MACHINE_THUMB       0x01c2

    #define IMAGE_FILE_MACHINE_IA64        0x0200  // Intel 64

    #define IMAGE_FILE_MACHINE_MIPS16      0x0266  // MIPS

    #define IMAGE_FILE_MACHINE_MIPSFPU     0x0366  // MIPS

    #define IMAGE_FILE_MACHINE_MIPSFPU16   0x0466  // MIPS

    #define IMAGE_FILE_MACHINE_ALPHA64     0x0284  // ALPHA64

    #define IMAGE_FILE_MACHINE_AXP64       IMAGE_FILE_MACHINE_ALPHA64

NumberOfSections

    pe文件中区块的数量.

TimeDateStamp

    文件日期时间戳,指这个pe文件生成的时间,它的值是从1969年12月31日16::00以来的秒数.

PointerToSymbolTable

    Coff调试符号表的偏移地址.

NumberOfSymbols

    Coff符号表中符号的个数. 这个域和前个域在release版本的程序里是0.

SizeOfOptionalHeader

    IMAGE_OPTIONAL_HEADER32结构的大小(即多少字节).我们接着就要提到这个结构了.事实上,pe文件的大部分重要的域都在IMAGE_OPTIONAL_HEADER结构里.

Characteristics

    这个域描述pe文件的一些属性信息,比如是否可执行,是否是一个动态连接库等.具体定义如下:

#define IMAGE_FILE_RELOCS_STRIPPED           0x0001  // 重定位信息被移除

#define IMAGE_FILE_EXECUTABLE_IMAGE          0x0002  // 文件可执行

#define IMAGE_FILE_LINE_NUMS_STRIPPED        0x0004  // 行号被移除

#define IMAGE_FILE_LOCAL_SYMS_STRIPPED       0x0008  // 符号被移除

#define IMAGE_FILE_AGGRESIVE_WS_TRIM         0x0010  // Agressively trim working set

#define IMAGE_FILE_LARGE_ADDRESS_AWARE       0x0020  // 程序能处理大于2G的地址

#define IMAGE_FILE_BYTES_REVERSED_LO         0x0080  // Bytes of machine word are reversed.

#define IMAGE_FILE_32BIT_MACHINE             0x0100  // 32位机器

#define IMAGE_FILE_DEBUG_STRIPPED            0x0200  // .dbg文件的调试信息被移除

#define IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP   0x0400  // 如果在移动介质中,拷到交换文件中运行

#define IMAGE_FILE_NET_RUN_FROM_SWAP         0x0800  // 如果在网络中,拷到交换文件中运行

#define IMAGE_FILE_SYSTEM                    0x1000  // 系统文件

#define IMAGE_FILE_DLL                       0x2000  // 文件是一个dll

#define IMAGE_FILE_UP_SYSTEM_ONLY            0x4000  // 文件只能运行在单处理器上

#define IMAGE_FILE_BYTES_REVERSED_HI         0x8000  // Bytes of machine word are reversed.

文件头 MAGE_FILE_HEADER的更多相关文章

  1. PE文件头

    pe文件头查看器下载与原文地址: http://www.pc6.com/softview/SoftView_109840.html PE文件入门: PE文件总的来说是由DOS文件头.DOS加载模块.P ...

  2. python文件头的#-*- coding: utf-8 -*- 的作用

    这一句其实是告诉编辑器,我的代码使用的格式是utf-8,如果没有这句编辑器就会自动去识别代码的文件格式,如果发现文件格式不是utf-8,就有可能去将编码格式转换为utf-8,比如本来是gbk的,编辑器 ...

  3. VA中用文件头注释和函数头注释Suggestions

    写C++代码,不能不用VA,这里贴两个我最常用的注释Suggestions. [1.File Header 文件头注释] /*** @file     $FILE_BASE$.$FILE_EXT$* ...

  4. vim跳到文件头和文末结尾

    gg           : 跳转到文件头 Shift+g   : 跳转到文件末尾

  5. 我与python3擦肩而过(二)—— csv文件头哪去啦?

    在看Python Data Visualization Cookbook 这本书(基于python2),开始时读取csv文件头的时候出现问题.查了资料,又是python3的问题,从这个链接找到答案. ...

  6. php 读取文件头判断文件类型的实现代码

    php代码实现读取文件头判断文件类型,支持图片.rar.exe等后缀. 例子: <?php $filename = "11.jpg"; //为图片的路径可以用d:/uploa ...

  7. php通过文件头检测文件类型通用类(zip,rar…)(转)

    在做web应用时候,通过web扩展名判断上存文件类型,这个是我们常使用的.有时候我们这样做还不完善.可能有些人上存一些文件,但是他通过修改 扩展名,让在我们的文件类型之内. 单实际访问时候又不能展示( ...

  8. Vim 自动文件头注释与模板定义

    Vim 自动文件头注释与模板定义 在vim的配置文件.vimrc添加一些配置可以实现创建新文件时自动添加文件头注释,输入特定命令可以生成模板. 使用方法 插入模式输入模式输入seqlogic[Ente ...

  9. 常用文件的文件头(附JAVA测试类)

    1. MIDI (mid),文件头:4D546864 2. JPEG (jpg),文件头:FFD8FF 3. PNG (png),文件头:89504E47 4. GIF (gif),文件头:47494 ...

随机推荐

  1. iOS图片处理

    http://www.cnblogs.com/kenshincui/p/3959951.html

  2. linux printk函数学习

    printk与printf的区别在于: printk运行在kernel space,而printf运行在user space. 所以kernel打印log使用printk,而应用程序打印log使用pr ...

  3. ASP.NET NuGet to install the mvc 5.2.2

    http://www.nuget.org/packages/Microsoft.AspNet.Mvc

  4. 深入理解jdk和jre(转)

    转自:http://ihyperwin.iteye.com/blog/1513754 大家肯定在安装JDK的时候会有选择是否安装单独的jre,一般都会一起安装,我也建议大家这样做.因为这样更能帮助大家 ...

  5. windows 编程—— 学习指导

    这里有一份很好的资源,被制作成chm文件的<Windows 程序设计>,包含了中文版和英文版,还有全书源代码,虽然不知道是谁出版的,但是感觉对Windows编程新手来说还是很不错的.关键还 ...

  6. javac 命令行使用总结

    先给出参考的两个链接,然后再总结: 内容:使用javac 指定编译多个目录下java文件 链接:http://zhidao.baidu.com/link?url=W5ZERu8_ouGD-L_JH0v ...

  7. 组合数学第一发 hdu 2451 Simple Addition Expression

    hdu 2451 Simple Addition Expression Problem Description A luxury yacht with 100 passengers on board ...

  8. python使用正則表達式

    python中使用正則表達式 1. 匹配字符 正則表達式中的元字符有 .  ^  $ *   +  ?  { }  [ ]  \  | ( ) 匹配字符用的模式有 \d 匹配随意数字 \D 匹配随意非 ...

  9. 纯CSS3实现超立体的3D图片侧翻倾斜效果

    看到网友分享的一款CSS3 3D图片侧翻倾斜特效,觉得效果非常棒,其实话说回来,这玩意儿的实现真的非常简单,主要是创意不错.先来看看效果图.那么接下来我们分析一下源码吧,显示html代码,非常简单: ...

  10. C#导出数据到Excel通用的方法类

    导出数据到Excel通用的方法类,请应对需求自行修改. 资源下载列表 using System.Data; using System.IO; namespace IM.Common.Tools { p ...