IMAGE_FILE_HEADER这个结构的定义如下:

typedef struct _IMAGE_FILE_HEADER {

00h   WORD    Machine;              //运行平台

02h   WORD    NumberOfSections;          //区块数目

06h   DWORD   TimeDateStamp;            //文件日期时间戳

0Ah   DWORD   PointerToSymbolTable;      //指向符号表

0Eh   DWORD   NumberOfSymbols;         //符号表中的符号数量

12h   WORD    SizeOfOptionalHeader;    //映像可选头结构的大小 224

14h   WORD    Characteristics;          //文件特征值

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

这个结构体表明一个PE文件的基本特征属性,也是一个PE文件的入口

Machine域说明这个pe文件在什么CPU上运行,具体如下:

    #define IMAGE_FILE_MACHINE_UNKNOWN     0

    #define IMAGE_FILE_MACHINE_I386        0x014c  // Intel 386.

    #define IMAGE_FILE_MACHINE_R3000       0x0162  // MIPS little-endian, 0x160 big-endian

    #define IMAGE_FILE_MACHINE_R4000       0x0166  // MIPS little-endian

    #define IMAGE_FILE_MACHINE_R10000      0x0168  // MIPS little-endian

    #define IMAGE_FILE_MACHINE_WCEMIPSV2   0x0169  // MIPS little-endian WCE v2

    #define IMAGE_FILE_MACHINE_ALPHA       0x0184  // Alpha_AXP

    #define IMAGE_FILE_MACHINE_POWERPC     0x01F0  // IBM PowerPC Little-Endian

    #define IMAGE_FILE_MACHINE_SH3         0x01a2  // SH3 little-endian

    #define IMAGE_FILE_MACHINE_SH3E        0x01a4  // SH3E little-endian

    #define IMAGE_FILE_MACHINE_SH4         0x01a6  // SH4 little-endian

    #define IMAGE_FILE_MACHINE_ARM         0x01c0  // ARM Little-Endian

    #define IMAGE_FILE_MACHINE_THUMB       0x01c2

    #define IMAGE_FILE_MACHINE_IA64        0x0200  // Intel 64

    #define IMAGE_FILE_MACHINE_MIPS16      0x0266  // MIPS

    #define IMAGE_FILE_MACHINE_MIPSFPU     0x0366  // MIPS

    #define IMAGE_FILE_MACHINE_MIPSFPU16   0x0466  // MIPS

    #define IMAGE_FILE_MACHINE_ALPHA64     0x0284  // ALPHA64

    #define IMAGE_FILE_MACHINE_AXP64       IMAGE_FILE_MACHINE_ALPHA64

NumberOfSections

    pe文件中区块的数量.

TimeDateStamp

    文件日期时间戳,指这个pe文件生成的时间,它的值是从1969年12月31日16::00以来的秒数.

PointerToSymbolTable

    Coff调试符号表的偏移地址.

NumberOfSymbols

    Coff符号表中符号的个数. 这个域和前个域在release版本的程序里是0.

SizeOfOptionalHeader

    IMAGE_OPTIONAL_HEADER32结构的大小(即多少字节).我们接着就要提到这个结构了.事实上,pe文件的大部分重要的域都在IMAGE_OPTIONAL_HEADER结构里.

Characteristics

    这个域描述pe文件的一些属性信息,比如是否可执行,是否是一个动态连接库等.具体定义如下:

#define IMAGE_FILE_RELOCS_STRIPPED           0x0001  // 重定位信息被移除

#define IMAGE_FILE_EXECUTABLE_IMAGE          0x0002  // 文件可执行

#define IMAGE_FILE_LINE_NUMS_STRIPPED        0x0004  // 行号被移除

#define IMAGE_FILE_LOCAL_SYMS_STRIPPED       0x0008  // 符号被移除

#define IMAGE_FILE_AGGRESIVE_WS_TRIM         0x0010  // Agressively trim working set

#define IMAGE_FILE_LARGE_ADDRESS_AWARE       0x0020  // 程序能处理大于2G的地址

#define IMAGE_FILE_BYTES_REVERSED_LO         0x0080  // Bytes of machine word are reversed.

#define IMAGE_FILE_32BIT_MACHINE             0x0100  // 32位机器

#define IMAGE_FILE_DEBUG_STRIPPED            0x0200  // .dbg文件的调试信息被移除

#define IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP   0x0400  // 如果在移动介质中,拷到交换文件中运行

#define IMAGE_FILE_NET_RUN_FROM_SWAP         0x0800  // 如果在网络中,拷到交换文件中运行

#define IMAGE_FILE_SYSTEM                    0x1000  // 系统文件

#define IMAGE_FILE_DLL                       0x2000  // 文件是一个dll

#define IMAGE_FILE_UP_SYSTEM_ONLY            0x4000  // 文件只能运行在单处理器上

#define IMAGE_FILE_BYTES_REVERSED_HI         0x8000  // Bytes of machine word are reversed.

文件头 MAGE_FILE_HEADER的更多相关文章

  1. PE文件头

    pe文件头查看器下载与原文地址: http://www.pc6.com/softview/SoftView_109840.html PE文件入门: PE文件总的来说是由DOS文件头.DOS加载模块.P ...

  2. python文件头的#-*- coding: utf-8 -*- 的作用

    这一句其实是告诉编辑器,我的代码使用的格式是utf-8,如果没有这句编辑器就会自动去识别代码的文件格式,如果发现文件格式不是utf-8,就有可能去将编码格式转换为utf-8,比如本来是gbk的,编辑器 ...

  3. VA中用文件头注释和函数头注释Suggestions

    写C++代码,不能不用VA,这里贴两个我最常用的注释Suggestions. [1.File Header 文件头注释] /*** @file     $FILE_BASE$.$FILE_EXT$* ...

  4. vim跳到文件头和文末结尾

    gg           : 跳转到文件头 Shift+g   : 跳转到文件末尾

  5. 我与python3擦肩而过(二)—— csv文件头哪去啦?

    在看Python Data Visualization Cookbook 这本书(基于python2),开始时读取csv文件头的时候出现问题.查了资料,又是python3的问题,从这个链接找到答案. ...

  6. php 读取文件头判断文件类型的实现代码

    php代码实现读取文件头判断文件类型,支持图片.rar.exe等后缀. 例子: <?php $filename = "11.jpg"; //为图片的路径可以用d:/uploa ...

  7. php通过文件头检测文件类型通用类(zip,rar…)(转)

    在做web应用时候,通过web扩展名判断上存文件类型,这个是我们常使用的.有时候我们这样做还不完善.可能有些人上存一些文件,但是他通过修改 扩展名,让在我们的文件类型之内. 单实际访问时候又不能展示( ...

  8. Vim 自动文件头注释与模板定义

    Vim 自动文件头注释与模板定义 在vim的配置文件.vimrc添加一些配置可以实现创建新文件时自动添加文件头注释,输入特定命令可以生成模板. 使用方法 插入模式输入模式输入seqlogic[Ente ...

  9. 常用文件的文件头(附JAVA测试类)

    1. MIDI (mid),文件头:4D546864 2. JPEG (jpg),文件头:FFD8FF 3. PNG (png),文件头:89504E47 4. GIF (gif),文件头:47494 ...

随机推荐

  1. BZOJ1174: [Balkan2007]Toponyms

    1174: [Balkan2007]Toponyms Time Limit: 10 Sec  Memory Limit: 128 MBSubmit: 117  Solved: 16[Submit][S ...

  2. Nodejs in Visual Studio Code 03.学习Express

    1.开始 下载源码:https://github.com/sayar/NodeMVA Express组件:npm install express -g(全局安装) 2.ExpressRest 打开目录 ...

  3. STL——heap的4大操作

    STL的堆操作 STL里面的堆操作一般用到的只有4个:make_heap();.pop_heap();.push_heap();.sort_heap(); 他们的头文件函数是#include < ...

  4. [Design Pattern] Facde Pattern 简单案例

    Facade Pattern, 即外观模式,用于隐藏复杂的系统内部逻辑,提供简洁的接口给客户端调用,属于结构类的设计模式.我会将其名字理解为,门户模式. 下面是 Facade Pattern 的一个简 ...

  5. 主持汇 - NEXT

    主持汇 - NEXT 一个汇聚婚礼主持人才的平台

  6. Jenkins 初见

    在网上貌似没有找到Jenkins的中文的太多的文档,有的都是关于Hudson的一些 零零散散的,所以自己边学习边实践总结了以下系列文章,希望有助于大家对于Jenkins的使用. 本系列文章是基于我3年 ...

  7. 一、进程与信号之exec函数system函数

    exec函数: 子进程调用exec函数执行另一个程序,exec函数进程完全由新程序代替,替换原有程序正文,数据,堆,栈段 #include <unistd.h> extern char * ...

  8. android 程序防止被360或者系统给kill掉

    关于如果和防止android 程序防止被360kill掉之后重启的问题,肯定大家也搜索了好多方法,都不好使,对不对,什么增高权限了,什么进程优先级了,这些东西都不是我们可控的,所以有没有一些非常保险的 ...

  9. Zend框架2入门(二) (转)

    Zend框架2使用一个模块系统,和你组织内每个你的主应用程序特定代码模块.骨架提供的应用程序模块是用于提供引导,错误和路由配置到整个应用程序.它通常是用来提供应用水平控制器,比如说,应用程序的主页,但 ...

  10. VC++中操作XMLWin32实例

    摘要:VC++中操作XML XML在Win32程序方面应该没有在Web方面应用得多,很多Win32程序也只是用XML来存存配置信息而已,而且没有足够的好处的话还不如用ini.VC++里操作XML有两个 ...