PE文件格式详解(上)

核心提示： 现在把我们的注意力转向Windows NT PE文件格式，我们会发现只要我们得到了文件标志的位置，PE文件格式详解(上)(6)，PE文件之后就会有4个字节相跟随，下一个宏标识了PE文件的头部： //PEFILE.C#define PEFHDROFFSET(a) ((LPVOID)((BYT

现在把我们的注意力转向Windows NT PE文件格式，我们会发现只要我们得到了文件标志的位置，PE文件之后就会有4个字节相跟随。下一个宏标识了PE文件的头部： //PEFILE.C
#define PEFHDROFFSET(a) ((LPVOID)((BYTE *)a + \
　　　　　　　　　　　　((PIMAGE_DOS_HEADER)a)->e_lfanew + \
　　　　　　　　　　　　SIZE_OF_NT_SIGNATURE))
　　这个宏与上一个宏的唯一不同是这个宏加入了一个常量SIZE_OF_NT_SIGNATURE。不幸的是，这个常量并未定义在WINNT.H之中，于是我将它定义在了PEFILE.H中，它是一个DWORD的大小。

既然我们知道了PE文件头的位置，那么就可以检查头部的数据了。我们只需要把这个位置赋值给一个结构，如下： PIMAGE_FILE_HEADER pfh;
pfh = (PIMAGE_FILE_HEADER)PEFHDROFFSET(lpFile);在这个例子中，lpFile表示一个指向可执行文件内存映像基地址的指针，这就显出了内存映射文件的好处：不需要执行文件的I/O，只需使用指针pfh就能存取文件中的信息。PE文件头结构被定义为： //WINNT.H
typedef struct _IMAGE_FILE_HEADER {
　USHORT Machine;
　USHORT NumberOfSections;
　ULONG TimeDateStamp;
　ULONG PointerToSymbolTable;
　ULONG NumberOfSymbols;
　USHORT SizeOfOptionalHeader;
　USHORT Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
#define IMAGE_SIZEOF_FILE_HEADER 20请注意这个文件头部的大小已经定义在这个包含文件之中了，这样一来，想要得到这个结构的大小就很方便了。但是我觉得对结构本身使用sizeof运算符（译注：原文为“function”）更简单一些，因为这样的话我就不必记住这个常量的名字IMAGE_SIZEOF_FILE_HEADER，而只需要记住结构IMAGE_FILE_HEADER的名字就可以了。另一方面，记住所有结构的名字已经够有挑战性的了，尤其在是这些结构只有WINNT.H中才有的情况下。