IMAGE_FILE_HEADER这个结构的定义如下:

typedef struct _IMAGE_FILE_HEADER {

00h   WORD    Machine;              //运行平台

02h   WORD    NumberOfSections;          //区块数目

06h   DWORD   TimeDateStamp;            //文件日期时间戳

0Ah   DWORD   PointerToSymbolTable;      //指向符号表

0Eh   DWORD   NumberOfSymbols;         //符号表中的符号数量

12h   WORD    SizeOfOptionalHeader;    //映像可选头结构的大小 224

14h   WORD    Characteristics;          //文件特征值

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

这个结构体表明一个PE文件的基本特征属性,也是一个PE文件的入口

Machine域说明这个pe文件在什么CPU上运行,具体如下:

    #define IMAGE_FILE_MACHINE_UNKNOWN     0

    #define IMAGE_FILE_MACHINE_I386        0x014c  // Intel 386.

    #define IMAGE_FILE_MACHINE_R3000       0x0162  // MIPS little-endian, 0x160 big-endian

    #define IMAGE_FILE_MACHINE_R4000       0x0166  // MIPS little-endian

    #define IMAGE_FILE_MACHINE_R10000      0x0168  // MIPS little-endian

    #define IMAGE_FILE_MACHINE_WCEMIPSV2   0x0169  // MIPS little-endian WCE v2

    #define IMAGE_FILE_MACHINE_ALPHA       0x0184  // Alpha_AXP

    #define IMAGE_FILE_MACHINE_POWERPC     0x01F0  // IBM PowerPC Little-Endian

    #define IMAGE_FILE_MACHINE_SH3         0x01a2  // SH3 little-endian

    #define IMAGE_FILE_MACHINE_SH3E        0x01a4  // SH3E little-endian

    #define IMAGE_FILE_MACHINE_SH4         0x01a6  // SH4 little-endian

    #define IMAGE_FILE_MACHINE_ARM         0x01c0  // ARM Little-Endian

    #define IMAGE_FILE_MACHINE_THUMB       0x01c2

    #define IMAGE_FILE_MACHINE_IA64        0x0200  // Intel 64

    #define IMAGE_FILE_MACHINE_MIPS16      0x0266  // MIPS

    #define IMAGE_FILE_MACHINE_MIPSFPU     0x0366  // MIPS

    #define IMAGE_FILE_MACHINE_MIPSFPU16   0x0466  // MIPS

    #define IMAGE_FILE_MACHINE_ALPHA64     0x0284  // ALPHA64

    #define IMAGE_FILE_MACHINE_AXP64       IMAGE_FILE_MACHINE_ALPHA64

NumberOfSections

    pe文件中区块的数量.

TimeDateStamp

    文件日期时间戳,指这个pe文件生成的时间,它的值是从1969年12月31日16::00以来的秒数.

PointerToSymbolTable

    Coff调试符号表的偏移地址.

NumberOfSymbols

    Coff符号表中符号的个数. 这个域和前个域在release版本的程序里是0.

SizeOfOptionalHeader

    IMAGE_OPTIONAL_HEADER32结构的大小(即多少字节).我们接着就要提到这个结构了.事实上,pe文件的大部分重要的域都在IMAGE_OPTIONAL_HEADER结构里.

Characteristics

    这个域描述pe文件的一些属性信息,比如是否可执行,是否是一个动态连接库等.具体定义如下:

#define IMAGE_FILE_RELOCS_STRIPPED           0x0001  // 重定位信息被移除

#define IMAGE_FILE_EXECUTABLE_IMAGE          0x0002  // 文件可执行

#define IMAGE_FILE_LINE_NUMS_STRIPPED        0x0004  // 行号被移除

#define IMAGE_FILE_LOCAL_SYMS_STRIPPED       0x0008  // 符号被移除

#define IMAGE_FILE_AGGRESIVE_WS_TRIM         0x0010  // Agressively trim working set

#define IMAGE_FILE_LARGE_ADDRESS_AWARE       0x0020  // 程序能处理大于2G的地址

#define IMAGE_FILE_BYTES_REVERSED_LO         0x0080  // Bytes of machine word are reversed.

#define IMAGE_FILE_32BIT_MACHINE             0x0100  // 32位机器

#define IMAGE_FILE_DEBUG_STRIPPED            0x0200  // .dbg文件的调试信息被移除

#define IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP   0x0400  // 如果在移动介质中,拷到交换文件中运行

#define IMAGE_FILE_NET_RUN_FROM_SWAP         0x0800  // 如果在网络中,拷到交换文件中运行

#define IMAGE_FILE_SYSTEM                    0x1000  // 系统文件

#define IMAGE_FILE_DLL                       0x2000  // 文件是一个dll

#define IMAGE_FILE_UP_SYSTEM_ONLY            0x4000  // 文件只能运行在单处理器上

#define IMAGE_FILE_BYTES_REVERSED_HI         0x8000  // Bytes of machine word are reversed.

文件头 MAGE_FILE_HEADER的更多相关文章

  1. PE文件头

    pe文件头查看器下载与原文地址: http://www.pc6.com/softview/SoftView_109840.html PE文件入门: PE文件总的来说是由DOS文件头.DOS加载模块.P ...

  2. python文件头的#-*- coding: utf-8 -*- 的作用

    这一句其实是告诉编辑器,我的代码使用的格式是utf-8,如果没有这句编辑器就会自动去识别代码的文件格式,如果发现文件格式不是utf-8,就有可能去将编码格式转换为utf-8,比如本来是gbk的,编辑器 ...

  3. VA中用文件头注释和函数头注释Suggestions

    写C++代码,不能不用VA,这里贴两个我最常用的注释Suggestions. [1.File Header 文件头注释] /*** @file     $FILE_BASE$.$FILE_EXT$* ...

  4. vim跳到文件头和文末结尾

    gg           : 跳转到文件头 Shift+g   : 跳转到文件末尾

  5. 我与python3擦肩而过(二)—— csv文件头哪去啦?

    在看Python Data Visualization Cookbook 这本书(基于python2),开始时读取csv文件头的时候出现问题.查了资料,又是python3的问题,从这个链接找到答案. ...

  6. php 读取文件头判断文件类型的实现代码

    php代码实现读取文件头判断文件类型,支持图片.rar.exe等后缀. 例子: <?php $filename = "11.jpg"; //为图片的路径可以用d:/uploa ...

  7. php通过文件头检测文件类型通用类(zip,rar…)(转)

    在做web应用时候,通过web扩展名判断上存文件类型,这个是我们常使用的.有时候我们这样做还不完善.可能有些人上存一些文件,但是他通过修改 扩展名,让在我们的文件类型之内. 单实际访问时候又不能展示( ...

  8. Vim 自动文件头注释与模板定义

    Vim 自动文件头注释与模板定义 在vim的配置文件.vimrc添加一些配置可以实现创建新文件时自动添加文件头注释,输入特定命令可以生成模板. 使用方法 插入模式输入模式输入seqlogic[Ente ...

  9. 常用文件的文件头(附JAVA测试类)

    1. MIDI (mid),文件头:4D546864 2. JPEG (jpg),文件头:FFD8FF 3. PNG (png),文件头:89504E47 4. GIF (gif),文件头:47494 ...

随机推荐

  1. 【转】Android中的内存管理--不错不错,避免使用枚举类型

    原文网址:http://android-performance.com/android/2014/02/17/android-manage-memory.html 本文内容翻译自:http://dev ...

  2. 【Android官方Training教程】Getting Started部分学习笔记

    Getting Started Welcome to Training for Android developers. Here you'll find sets of lessons within ...

  3. C - A Simple Problem with Integers - poj 3468(区间更新)

    题意:有一个比较长的区间可能是100000.长度, 每个点都有一个值(值还比较大),现在有一些操作,C abc, 把区间a-b内全部加上c, Qab,求区间ab的值. 分析:很明显我们不可能对区间的每 ...

  4. spring配置文件中id与name

    1.id属性命名必须满足XML的命名规范,因为id其实是XML中就做了限定的. 2.name属性则没有这些限定,你可以使用几乎任何的名称 3.配置文件中不允许出现两个id相同的<bean> ...

  5. java异常面试常见题目

    在Java核心知识的面试中,你总能碰到关于 处理Exception和Error的面试题.Exception处理是Java应用开发中一个非常重要的方面,也是编写强健而稳定的Java程序的关键,这自然使它 ...

  6. [置顶] flex4事件监听与自定义事件分发(三)

    1.我们来说一下自定义事件子类.什么时候创建新的事件类以及怎么创建. (1)说一下,我们什么时候需要自定义事件类.举例说明,在flex中事件的基类是Event,而当我们点击某个按钮或者是单击某个组件的 ...

  7. 一分钟明确 VS manifest 原理

    什么是vs 程序的manifest文件 manifest 是VS程序用来标明所依赖的side-by-side组建,如ATL, CRT等的清单. 为什么要有manifest文件 一台pc上,用一组建往往 ...

  8. python network programming tutorial

    关于网络编程以及socket 等一些概念和函数介绍就不再重复了,这里示例性用python 编写客户端和服务器端. 一.最简单的客户端流程: 1. Create a socket 2. Connect ...

  9. 安卓(android)建立项目时失败,出现Android Manifest.xml file missing几种解决方法?(总结中)

    安卓(android)建立项目时失败.出现AndroidManifest.xml file missing几种解决方法?(总结中) Eclipse新建项目.遇到这种问题.注意例如以下: 1.文件名称最 ...

  10. unity3d触屏操作对象运动

    using UnityEngine; using System.Collections; public class robot : MonoBehaviour { private GameObject ...